Danijel Prosenjak
Omrežna stikala in komutacija LAN/WAN
Diplomsko delo
Ptuj, september 2010
I
Diplomsko delo univerzitetnega študijskega programa
Omrežna stikala in komutacija LAN/WAN
Študent: Danijel Prosenjak
Študijski program: UN ŠP Telekomunikacije
Smer: Telekomunikacije
Mentor: doc. dr. Janez Stergar
Lektorica: Sonja Dežman
Ptuj, september 2010
II
III
ZAHVALA
Zahvaljujem se mentorju doc. dr. Janezu
Stergarju za pomoč in vodenje pri opravljanju
diplomske naloge.
Posebna zahvala velja staršem in sestri Katji,
ki so me med študijem spodbujali in mi stali
ob strani.
IV
Omrežna stikala in komutacija LAN/WAN
Ključne besede: omrežna stikala, komutacija v LAN, protokol vpetega drevesa,
VLAN
UDK: 621.3.014.2(043.2)
Povzetek
Diplomska naloga obravnava koncepte komutacije. Osredotočili se bomo na lokalna
omrežja. Podrobneje bomo preučili različice protokola vpetega drevesa in primere le-tega.
V naslednjih poglavjih so obravnavana virtualna lokalna omrežja in VLAN povezovalni
protokol. Na kratko bomo preučili komutacijo OSI plasti L3, prožnost omrežja in varnost
omrežnih stikal.
V
Network switches and LAN/WAN switching
Key words: network switches, LAN switching, spanning-tree protocol, VLAN
UDK: 621.3.014.2(043.2)
Abstract
The diploma work treats the concepts of switching. We will focus on local area networks.
We will examine in detail versions of the Spanning Tree Protocol and examples of it.
Virtual Local Area Networks and the VLAN trunking protocol are discussed in following
chapters. We will explore briefly the Layer 3 switching, resiliency network and security of
network switches.
VI
VSEBINA
1 UVOD ............................................................................................................................ 1
2 KONCEPTI KOMUTACIJE.......................................................................................... 2
2.1 Uvod v eternet/IEEE 802.3 .................................................................................... 2
2.2 Arhitektura komutacije LAN ................................................................................. 3
2.3 Osnove delovanja omreţnih stikal ......................................................................... 5
3 OMREŢNA STIKALA .................................................................................................. 9
3.1 Načrtovanje LAN .................................................................................................. 9
3.2 Omreţna stikala LAN .......................................................................................... 12
4 UVOD V KONFIGURACIJO STIKAL ...................................................................... 15
4.1 Zagon stikala ....................................................................................................... 16
4.2 Konfiguracija stikala............................................................................................ 17
5 PROTOKOL VPETEGA DREVESA – STP ............................................................... 20
5.1 Uvod v redundantne topologije ........................................................................... 20
5.2 Uvod v STP ......................................................................................................... 26
5.3 Konvergenca STP ................................................................................................ 27
5.4 Različice STP ...................................................................................................... 42
5.5 Derivati STP – PVST+ ........................................................................................ 44
5.6 Derivati RSTP – RPVST+ ................................................................................... 62
6 VIRTUALNA LOKALNA OMREŢJA – VLAN ........................................................ 66
6.1 Koncepti VLAN .................................................................................................. 66
6.2 Uvod v konfiguracijo VLAN ............................................................................... 66
6.3 Ugotavljanje in odpravljanje napak v VLAN ...................................................... 68
7 PROTOKOL VIRTUALNEGA SNOPLJENJA – VTP .............................................. 70
7.1 Snopljenje ............................................................................................................ 70
7.2 VTP ...................................................................................................................... 71
7.3 Uvod v usmerjanje med VLAN ........................................................................... 74
7.4 Komutacija OSI plasti L3 .................................................................................... 75
8 PROŢNOST OMREŢJA .............................................................................................. 82
8.1 Načrtovanje proţnega omreţja ............................................................................ 83
9 STIKALA IN OMREŢNA VARNOST ....................................................................... 85
VII
9.1 Nastavitev varnosti vrat ....................................................................................... 85
10 ZAKLJUČEK ............................................................................................................... 87
11 LITERATURA ............................................................................................................. 88
12 PRILOGE ..................................................................................................................... 90
12.1 Seznam slik .......................................................................................................... 90
12.2 Seznam preglednic ............................................................................................... 92
12.3 Naslov študenta ................................................................................................... 92
12.4 Kratek ţivljenjepis ............................................................................................... 92
VIII
UPORABLJENE KRATICE
WAN – Wide Area Network (prostrano omreţje)
LAN – Local Area Network (lokalno omreţje)
CSMA/CD – Carrier Sense Multiple Access with Collision Detection (sodostop z
zaznavanjem nosilca in odkrivanjem trkov)
PARC – Palo Alto Research Centre (raziskovalni center Palo Alto)
ISO – International Organization for Standardization (Mednarodna organizacija za
standardizacijo)
OSI – Open System Interconnection (medsebojno povezovanje odprtih sistemov)
IEEE – Institute of Electrical and Electronics Engineers (Inštitut inţenirjev elektrotehnike
in elektronike)
DIX – Digital, Intel, Xerox (Digital, Intel, Xerox)
MAC – Medium Access Control (krmiljenje dostopa do medija)
FCS – Frame Check Sequence (blokovni kontrolni niz)
ATM – Asynchronous Transfer Mode (asinhroni prenosni način)
LANE – LAN emulation (emulacija omreţja LAN)
VLAN – Virtual Local Area Network (navidezno lokalno omreţje)
CDDI – Copper Distributed Data Interface (bakreni porazdeljeni podatkovni vmesnik)
FDDI – Fiber Distributed Data Interface (optični porazdeljeni podatkovni vmesnik)
MIC – Medium Interface Connector (konektor na medijskem vmesniku)
CRC – Cyclic Redundancy Check (ciklično preverjanje redundance)
IOS – Internetwork Operating System (medmreţni operacijski sistem)
SSH – Secure Shell (varnostna lupina)
SNMP – Simple Network Management Protocol (preprosti protokol za upravljanje
omreţja)
CLI – Command Line Interface (ukazna vrstica)
FTP – File Transfer Protocol (protokol za prenos datotek)
RAM – Random Access Memory (pomnilnik z naključnim dostopom)
NVRAM – Non-Volatile Random Access Memory (obstojni pomnilnik z naključnim
dostopom)
ARP – Address Resolution Protocol (protokol za prevedbo naslovov)
IX
CPU – Central Process Unit (centralno procesna enota)
TCP – Transmission Control Protocol (protokol za nadzor prenosa)
ULP – Upper-Layer Protocol (protokol višje leţečega sloja)
PICS – Protocol Implementation Conformance Statement (Izjava o skladnosti izvedbe
protokola)
BPDU – Bridge Protocol Data Unit (podatkovni okvir mostovnega protokola)
DHCP – Dynamic Host Configuration Protocol (protokol za dinamično konfiguriranje
gostiteljskih računalnikov)
DTP – Dynamic Trunking Protocol (protokol dinamičnega snopljenja)
DTE – Data Terminal Equipment (podatkovna terminalska oprema)
DCE – Data Communication Equipment (podatkovna komunikacijska oprema)
CDP – Cisco Discovery Protocol (Ciscov protokol odkrivanja omreţja)
LED – Light Emitting Diode (svetleča dioda)
VTP – VLAN Trunking Protocol (VLAN povezovalni protokol)
ISL – Inter-Switch Link (povezava med stikali)
QOS – Quality of Service (kakovost storitev)
PVST – Per VLAN Spanning Tree (protokol vpetega drevesa po VLAN-u)
PVST+ – Per VLAN Spanning Tree + (protokol vpetega drevesa po VLAN-u +)
R-PVST – Rapid Per VLAN Spanning Tree (hitri protokol vpetega drevesa po VLAN-u)
R-PVST+ – Rapid Per VLAN Spanning Tree + (hitri protokol vpetega drevesa po VLAN-
u+)
STP – Spanning Tree Protocol (protokol vpetega drevesa)
MSTP – Multiple Spanning Tree Protocol (večnivojski protokol vpetega drevesa)
RSTP – Rapid Spanning Tree Protocol (hitri protokol vpetega drevesa)
CAM – Channel Access Method (način dostopa do kanala)
SPAN – Switch Port Analyzer (analizator vrat stikala)
CST – Common Spanning Tree (skupno vpeto drevo)
VID – Virtual Local Area Network Identificator (identifikacija navideznega lokalnega
omreţja)
CAM – Content Addessable Memory (pomnilnik z naslovljivo vsebino)
Omreţna stikala in komutacija LAN/WAN 1
1 UVOD
V današnjem svetu potrebujemo zanesljivo komunikacijsko infrastrukturo in stabilno
komutacijo, ki je zagotavlja nemoteno delovanje komunikacijskega sistema. V celotni
komunikacijski infrastrukturi je komunikacijsko omreţje ključno. Lokalna omreţja, ki
zajemajo majhno fizično površino, kot so npr. pisarne ali majhne skupine stavb (univerza,
letališča), so v nasprotju s prostranimi omreţji. Ponavadi omogočajo višja razmerja
prenosa podatkov, obsegajo manjša geografska območja in ne pogojujejo zakupljenih
telekomunikacijskih vodov.
Prostrana omreţja pa uporabljamo za povezavo lokalnih omreţjih in drugih vrst omreţij,
tako da lahko uporabniki na enem mestu komunicirajo z uporabniki na drugem mestu.
Večina prostranih omreţij je zgrajena samo za določene organizacije in so povečini
zasebna. Pogosto so zgrajena z uporabo zakupljenih telekomunikacijskih vodov, kar pa je
seveda zelo drago. Novejše tehnologije omogočajo, da prostrana omreţja zgradimo
namesto z uporabo zakupljenih vodov z uporabo vodovno preklapljanega omreţja ali
paketno preklapljanih metod.
Dandanes je ţivljenje brez računalniških omreţij skorajda nemogoče, kajti veliko podjetij
in drţavnih institucij, pa tudi domačih uporabnikov brez lokalnih in prostranih omreţij ne
bi komuniciralo s svetom.
Omreţna stikala in komutacija LAN/WAN 2
2 KONCEPTI KOMUTACIJE
2.1 Uvod v eternet/IEEE 802.3
Eternet je najpopularnejši protokol za lokalna omreţja. Ta industrijski standard so prevzeli
mnogi proizvajalci omreţne strojne opreme. Danes mnogi problemi, ki bi lahko nastali
zaradi nezdruţljivosti strojne opreme različnih proizvajalcev, pri eternetu praktično ne
obstajajo. Omreţja eternet delujejo s hitrostmi 10, 100 in 1.000 Mb/s (1 Gb/s), kar
omogoča uporabo tako domača in mala poslovna omreţja kot tudi visoko zmogljive
omreţne hrbtenice.
Izvor eterneta
V poznih šestdesetih letih 20. stoletja je havajska univerza razvila WAN (ang. Wide Area
Network) in ga poimenovala ALOHA. WAN je predstavljal prostorsko razširitev
tehnologije LAN (ang. Local Area Network), saj je bila površina ozemlja univerze velika.
Imeli so dosti razpršenih računalnikov, ki so jih ţeleli med seboj povezati. Ena ključnih
lastnosti tega omreţja, ki so ga ustvarili, je bila uporaba pristopne metode CSMA/CD.
To omreţje je bilo osnova za današnji eternet. V Xeroxovem raziskovalnem centru PARC
(ang. Palo Alto Research Centre) sta si leta 1972 Robert Metcalfe in David Boggs izmislila
način za skupno uporabo tiskalnikov preko omreţnega medija. Leta 1975 sta predstavila
izdelek – Ethernet. Prvotna različica eterneta je imela hitrost prenosa 2,94 Mb/s,
omogočala je povezavo preko 100 računalnikov s kablom dolţine do en kilometer.
Xerox Ethernet je bil tako uspešen, da so Xerox, Intel Corporation in Digital Equipment
Corporation izdelali standard za 10 Mb/s Ethernet. Ta standard je znan kot DIX-Ethernet,
debeli eternet, Thicknet ali 10Base5. Danes je ta specifikacija samo ena izmed metod za
povezavo računalnikov in datotečnih sistemov med seboj in skupno rabo medija.
Leta 1978 je Mednarodna organizacija za standardizacijo (ang. International Organization
for Standardization) objavila skupino standardov za povezovanje različnih naprav. Ta
Omreţna stikala in komutacija LAN/WAN 3
skupina standardov je poznana kot referenčni model OSI (angl. Open Systems
Interconnection). Specifikacija eterneta ima iste funkcije kot fizični sloj in sloj podatkovne
povezave OSI modela.
Pravila določajo način povezovanja strojne opreme in pretok informacij v strojni opremi
računalnika. V osemdesetih letih je IEEE objavila Projekt 802. Ta projekt določa standarde
za projektiranje in zdruţljivost strojnih komponent, ki delujejo na fizičnem sloju in sloju
podatkovne povezave OSI modela.
Standard IEEE Projekt 802, ki se nanaša na eternet, je specifikacija 802.3. V letu 1995 je
IEEE sprejela standard 802.3u, ki vključuje 100 Mb/s Fast Ethernet, 802.3ab pa opisuje
1000 Mb/s (t. i. gigabitni eternet).
Standard IEEE 802.3 se nekoliko razlikuje od standarda DIX-Ethernet. Standard IEEE
vsebuje dodatna pravila za fizični sloj, obstaja pa tudi majhna razlika v zgradbi okvirja.
Danes se pod pojmom eternet v resnici misli na standard IEEE 802.3, za razliko od
izvornega Etherneta pa se ga poimenuje kot Ethernet II. V resnici je od prvotnega eterneta
do danes ostala samo zgradba paketa, ki vsebuje polje, ki sluţi protokolom v omreţnem
sloju (angl. Ethertype).
2.2 Arhitektura komutacije LAN
Ko gradimo arhitekturo komutacije LAN, ki ustreza malim in srednjim podjetjem, je
najverjetneje zasnovana na hierarhičnem modelu medomreţja. V primerjavi z drugimi
modeli medomreţja je hierarhični model laţje upravljati in razširjati, pa tudi problemi, ki v
omreţju nastopijo, se rešijo hitreje.
Hierarhični model medomreţja vključuje v diskretne plasti razdeljena omreţja. Vsaka plast
zagotavlja posebne funkcije, ki so definirane znotraj celotnega omreţja. Z ločevanjem
različnih funkcij, ki obstajajo v omreţju, postane snovanje omreţij modularno, kar
omogoča razširljivost in večjo zmogljivost.
Omreţna stikala in komutacija LAN/WAN 4
Medomreţni hierarhični model (t. i. triplastni model) je načrtovani mreţni model, ki ga je
prvi predlagal Cisco. Tipični hierarhični model razčleni omreţje v:
dostopno plast,
distribucijsko plast in
jedrno plast.
Vsaka plast zagotavlja končnim odjemalcem in streţnikom različne storitve.
Dostopna plast
Končne odjemalce in streţnike poveţemo v omreţje v t. i. dostopni plasti. Dostopna plast
zagotavlja komutacijo v OSI plasti L2 ali izjemoma tudi v OSI plasti L3. Tradicionalna
osredotočenost na dostopno plast je zmanjšanje »cene na omreţni priključek«: znesek
naloţbe na posamezni eternet priključek omreţja je skrb vsakega podjetja.
Distribucijska plast
Distribucijska plast je v triplastnem modelu »pametna« plast, saj se na njej izvaja
usmerjanje, filtriranje in politika upravljanja kakovosti storitev. Naprave distribucijske
plasti pogosto upravljajo tudi z individualnimi podruţnicami povezave WAN.
Jedrna plast
Jedrno omreţje zagotavlja visoke hitrosti, hitro posredovane storitve in najhitrejšo moţno
posredovanje paketov med napravami v distribucijski plasti v različnih regijah omreţja.
Jedrna stikala in usmerjevalniki so v smislu surove moči posredovanja v omreţju ponavadi
najzmogljivejši. Naprave jedrnih omreţij upravljajo s povezavami najvišje hitrosti, kot je
npr. 10 Gigabit Ethernet.
Omreţna stikala in komutacija LAN/WAN 5
Slika 2.1: Hierarhični model medomreţja
2.3 Osnove delovanja omrežnih stikal
Stikalo je bolj napredno kot zvezdišče, saj zna razen interpretiranja in posredovanja
podatkov le-te tudi procesirati. S tem se odprejo vse moţnosti procesiranja in
shranjevanja podatkov. Stikalo na ta način omeji in odpravi domene trkov, saj je v primeru
istočasno prejetih okvirjev omogočeno shranjevanje le-teh v čakalne vrste in njihova
zaporedna obravnava.
Namen stikal je v veliki meri povezovanje in zdruţevanje uporabnikov LAN. S svojo
funkcionalnostjo omogočajo uporabnikom medsebojne povezave brez trkov, s čimer se
prepustnost omreţja glede na starejša omreţja z zvezdišči znatno izboljša. V okolju brez
Omreţna stikala in komutacija LAN/WAN 6
kolizij je namreč omogočen polno dvosmerni način komuniciranja (ang. full-duplex)
oziroma hkraten prenos podatkov v obeh smereh.
V lokalnem omreţju se za prenos uporabljajo eternet okvirji, znotraj katerih se nahajajo IP
paketi ali drugi podatki protokolov višjih slojev skupaj z dodatnimi kontrolnimi
informacijami. Vsak okvir ima v svoji glavi zapisan izvorni in ponorni MAC-naslov (ang.
Medium Access Control), na podlagi katerega je okvir tudi pravilno dostavljen.
Stikalo v svojem pomnilniku ustvari MAC-tabelo, kjer ima zapisane informacije, na
katerem fizičnem vmesniku je dostopen posamezen MAC-naslov. Stikalo to tabelo polni in
obnavlja na podlagi izvornega MAC-naslova vsakega prejetega eternet okvirja. Na podlagi
ponornega MAC-naslova pa se s pomočjo MAC-tabele odloči, na kateri fizični vmesnik bo
prejete okvirje posredoval. S pametnim posredovanjem se še dodatno izboljša izkoristek
omreţja, saj ostali uporabniki lokalnega omreţja niso po nepotrebnem obremenjeni z
nepomembnimi okvirji, kot npr. v primeru zvezdišča.
Za uspešno komutacijo okvirjev izvajajo omreţna stikala pet osnovnih operacij:
učenje,
nadziranje vnosov s časovniki,
preplavljanje,
selektivno posredovanje,
filtriranje.
Učenje
MAC-tabela mora biti zapolnjena z ustreznimi preslikavami MAC-naslovov in njim
pripadajočih fizičnih vmesnikov. Proces učenja omogoča, da se ti zapisi dinamično vnesejo
med normalnim delovanjem stikala. Ko stikalo prejme nek okvir, najprej preveri izvorni
MAC-naslov. Če je v MAC-tabeli ţe vstavljen, nadaljuje proceduro komutacije, če pa
MAC-naslova še nima zabeleţenega, le-tega vnese v tabelo.
Omreţna stikala in komutacija LAN/WAN 7
Časovniki
Vnosi v MAC-tabeli, pridobljeni z učenjem, so časovno omejeni. Ta časovna omejitev se
uporablja za brisanje starih MAC-naslovov. Potem, ko stikalo zapiše posamezen vnos v
MAC tabelo, se zanj zaţene časovnik. Ko se ta izteče, se vnos MAC-naslova zbriše. Vnos
se ponovno vpiše ali osveţi, ko stikalo prejme nov okvir na ta fizični vmesnik.
Preplavljanje
V primeru, ko stikalo ne ve, na kateri fizični vmesnik mora poslati okvir, saj ponornega
MAC-naslova nima v MAC-tabeli, ga pošlje na vse fizične vmesnike, razen na tistega, na
katerega je okvir prejel. Ta proces pošiljanja okvirja na vse vmesnike se imenuje
preplavljanje (ang. flooding). Preplavljanje se prav tako uporablja za okvirje, ki so poslani
razpršeno (ang. broadcast) z MAC-naslovom ffff.ffff.ffff.
Selektivno posredovanje
Selektivno posredovanje je proces, v katerem stikalo na podlagi ponornega MAC-naslova
pošlje okvir na ustrezen fizični vmesnik. To je pravzaprav osnovna operacija stikala, ko
ima svojo MAC-tabelo zapolnjeno. Celoten postopek poteka takole: stikalo prejme okvir in
pogleda ponorni MAC-naslov v prejetem okvirju. Če v svoji MAC-tabeli najde ujemanje,
okvir posreduje na ugotovljeni fizični vmesnik. To imenujemo posredovanje (ang.
forwarding).
Filtriranje
V nekaterih primerih prejeti okvir ni poslan. Temu procesu pravimo filtriranje okvirja.
Enega od primerov filtriranja smo ţe spoznali, ko smo zapisali, da stikalo ne posreduje
okvirja na tista vrata, s katerih ga je prejel. Prav tako bo stikalo zavrglo tudi okvir, ki ni
delujoč. Če okvir ne opravi testa FCS (ang. Frame Check Sequence), se avtomatsko
zavrţe. Dodaten razlog za filtriranje okvirjev je varnost. Stikalo ima lahko varnostne
Omreţna stikala in komutacija LAN/WAN 8
nastavitve, ki lahko blokirajo prejemanje ali pošiljanje okvirjev z določenih MAC-
naslovov ali fizičnih vmesnikov.
Omreţna stikala in komutacija LAN/WAN 9
3 OMREŽNA STIKALA
3.1 Načrtovanje LAN
Evolucija od omrežja s souporabo do komutiranega omrežja
V preteklosti so imeli načrtovalci omreţij tehnološko omejene moţnosti nakupa strojne
opreme za svoje kampusno omreţje. Dostopna vozlišča so predstavljala razdelilne omarice
in v njih usmerjevalnike z vlogo prehodov do podatkovnih centrov ali glavnih
telekomunikacijskih operaterjev. S povečanjem zmogljivosti procesorjev in hkrati zahtev
odjemalec/streţnik ter multimedijskih aplikacij, je bila potrebna večja pasovna širina v
tradicionalnem okolju prenosnega omreţja. Te nove zahteve so prisilile načrtovalce
omreţij, da nadgradijo dostopna vozlišča v razdelilnih omarah z ustrezno opremo, npr. s
stikali, kot je prikazano na Sliki 3.1.
Slika 3.1: Evolucija od omreţja s souporabo do polno dvosmernega komutiranega omreţja
Ta strategija omogoča upraviteljem omreţij, da zadrţijo obstoječe oţičenje in povečajo
učinkovitost delovanja omreţij z namensko pasovno širino do namizja vsakega
uporabnika. Omenjena strategija sovpada z evolucijo razdelilnih omar podobno, kot je
tudi trend v hrbteničnih omreţjih. Tukaj pride do izraza tehnologija ATM (ang.
Omreţna stikala in komutacija LAN/WAN 10
Asynchronous Transfer Mode), ki podpira različne standardizirane protokole, kot tudi
emulacijo omreţja LAN (ang. LAN Emulation), ki omogoča napravam ATM
kompatibilnost z obstoječimi tehnologijami LAN. Načrtovalci omreţij zdruţijo njihove
hrbtenične usmerjevalnike s stikali ATM, ki ponujajo večjo hrbtenično pasovno širino,
zahtevano z visokim pretokom podatkovnih storitev.
Tehnologije za načrtovanje komutiranega LAN
S prihodom novih tehnologij, kot so OSI L3 plast komutacije, OSI L2 LAN komutacija,
VLAN (ang. Virtual Local Area Network), in z novimi arhitekturami gradnje kampusnih
LAN-ov sta postala načrtovanje in realizacija krajevnih omreţij bolj zapletena. Za
izgradnjo učinkovitega kampusnega omreţja so danes najpomembnejše tri tehnologije:
Tehnologija paketne komutacije LAN
o Eternet komutacija, ki zagotavlja OSI L2 komutacijo in omogoča razpršeno
domensko oddajanje in segmentacijo z uporabo VLAN.
o Komutacija obroča z ţetonom (ang. Token Ring), ki omogoča podobno
funkcionalnost kot eternet komutacija, vendar z uporabo tehnologije obroča
z ţetonom. Komutacijo obroča z ţetonom lahko uporabimo tako na
transparentnem omreţnem mostiču kot tudi v sami izvorni poti mostiča.
o CDDI (ang. Copper Distributed Data Interface), ki zagotavlja postajo z
enojno priključitvijo (ang. Single-Attachment Station) ali postajo z dvojno
priključitvijo (ang. Dual-Attachment Station) na dve neoklopljeni sukani
parici (ang. Unshielded Twisted Pair) kategorije 5 s 100 Mb/s RJ-45
priključki.
o FDDI (ang. Fiber Distributed Data Interface), ki temelji na postaji z enojno
priključitvijo ali postaji z dvojno priključitvijo na hrbtenico optičnega
porazdeljenega podatkovnega vmesnika omreţja z uporabo dveh več
optičnih povezav z ustreznim vmesnikom MIC (ang. Medium Interface
Connector).
Tehnologija komutacije ATM
Omreţna stikala in komutacija LAN/WAN 11
Komutacija ATM omogoča visoke hitrosti tehnologije komutacije za govor, video
in podatke. Njeno delovanje je podobno tehnologiji komutacije LAN za podatkovne
tokove. Kljub drugačnemu konceptu komutacije in formatu okvirja ATM zagotavlja
najvišji nivo kakovosti govornih in video komunikacij z integracijo aktualnih
večpredstavnostnih tokov in
Usmerjevalne tehnologije
Usmerjanje je ključna tehnologija za povezovanje LAN-ov v kampusnih omreţjih.
Le-to je lahko izvedeno bodisi s komutacijo v plasti OSI L3 z ustreznimi stikali ali
pa je tradicionalno usmerjeno z usmerjevalniki.
Vloga LAN komutacijske tehnologije v kampusnih omrežjih
Večina načrtovalcev omreţja začne integrirati komutacijske naprave v obstoječe omreţje s
souporabo prenosnega sredstva, da doseţejo naslednje cilje:
povečanje pasovne širine, ki je na voljo za vsakega uporabnika; s tem se zmanjša
obremenjenost obstoječega omreţju s souporabo prenosnega sredstva;
uporablja VLAN z organiziranjem uporabnikov v logične skupine, ki so neodvisne
od fizične topologije razdelilnih omar dostopnega vozlišča; to lahko zmanjša
stroške premika, dodajanja in sprememb, hkrati pa poveča fleksibilnost omreţja;
uvajanje multimedijskih aplikacij za različne platforme komutacije in tehnologije,
ki so na voljo različnim uporabnikom;
zagotovitev gladke evolucije poti visoko zmogljivih komutacijskih rešitev, kot sta
Fast Ethernet in ATM.
Segmentacija s souporabo medija v LAN deli uporabnike na dva ali več ločenih segmentov
LAN s hkratnim zmanjšanjem števila uporabnikov na obstoječo pasovno širino.
Tehnologija LAN komutacije temelji na trendu uporabe mikro-segmentacije, ki zmanjšuje
število odjemalcev na segment omreţja, in v najboljšem primeru zagotavlja celoten mikro-
segment zgolj enemu uporabniku.
Omreţna stikala in komutacija LAN/WAN 12
Segmenti so med seboj povezani z medomreţnimi napravami, ki omogočajo komunikacijo
med LAN-i in lahko blokirajo druge tipe prometa. Stikala omogočajo spremljanje prometa
in sestavo tabele naslovov, s pomočjo katere nato omogočajo posredovanje paketov
direktno na določena vrata v LAN-u. Stikala običajno ne blokirajo dvosmernih storitev, saj
so zasnovana za hkratno komutacijo.
Tehnologija komutacije je hitro postala prednostna rešitev za izboljšanje LAN prometa
zaradi naslednjih razlogov:
za razliko od dostopnih vozlišč in ponavljalnikov omogočajo stikala več
podatkovnih tokov hkrati;
stikala z mikro-segmentacijo povečujejo podatkovno hitrost končnega odjemalca na
nazivno oziroma največjo moţno;
stikala zagotavljajo namensko pasovno širino za uporabnike z visoko gostoto
komutacije in komutacijo s podprtimi različnimi tipi (npr. 10BaseT ali 100BaseT,
fleksibilna 10/100 BaseT Ethernet komutacija, hitri eternet z optičnimi vlakni,
zdruţevanje hitrega eterneta v snope, obroč z ţetonom in tehnologija CDDI/FDDI
ter ATM LAN emulacija).
3.2 Omrežna stikala LAN
Omreţna stikala (angl. switches) so naprave, ki delujejo v sloju podatkovne povezave OSI.
Stikala so naprave z mnogimi omreţnimi priključki in so videti kot zvezdišče. Mnogi
proizvajalci izdelujejo stikala in zvezdišča v različnih velikostih za iste namene, vendar se
se razlikujejo samo v oznakah.
Razlika med stikalom in zvezdiščem je v načinu delovanja: zvezdišče posreduje prejeti
paket na vse izhode, stikalo pa samo na tiste izhode, ki zagotavljajo prenos do ciljnega
sistema. Po načinu delovanja je stikalo podobno omreţnemu mostiču, le da se od njega loči
po več vratih.
Omreţna stikala in komutacija LAN/WAN 13
Ker stikala pošljejo pakete le na en izhod, spremenijo značaj lokalnih omreţij. Povezave,
ki so bile prej namenjene vsem, postanejo sedaj namenske enemu samemu odjemalcu.
Če se v majhnem omreţju uporablja stikalo namesto zvezdišča, gre paket po posvečeni poti
od izvora do cilja, ne da bi pri tem v ta proces vključili ostale računalnike, ki so v omreţju.
Stikala posredujejo na vse izhode zgolj razpršena sporočila (angl. broadcast), ne pa tudi
sporočil, namenjenih enemu ponoru (angl. unicast). Večponorna sporočila (angl. multicast)
obravnavamo ponavadi kot razpršeno poslana sporočila. Ker pa okvirji niso posredovani
vsem, tudi trkov ni, saj gre za pakete enemu samemu odjemalcu. Če se z uporabo
omreţnega mostiča promet omeji na določen segment, ga je stikalo omejilo zgolj na dva
končna odjemalca.
Naslednja prednost stikala je, da imata komunicirajoča računalnika razpoloţljivo polno
pasovno širino segmenta. Standardna lokalna eternet omreţja imajo na zvezdišču 20 ali več
računalnikov in souporabljajo povezavo 100 Mb/s. Z zamenjavo zvezdišča s stikalom ima
vsak par računalnikov enosmerno povezavo 100 Mb/s. To je ogromna prednost izboljšave
omreţja, saj ni potrebno posegati v ostalo opremo postaj in omreţja.
Na splošno velja, da stikala niso potrebna v majhnih omreţjih, kjer ni večpredstavnih
tokov isto nalogo lahko opravlja zvezdišče. Danes so cene enostavnih stikal za manjša
omreţja ţe tako poceni, da zvezdišč večina podjetij ne proizvaja več. Zvezdišča
potrebujemo v večjih omreţjih, kjer se uporabljajo namesto omreţnih mostičev in ponekod
tudi namesto usmerjevalnikov.
S pravilno zamenjavo zvezdišč in usmerjevalnikov s stikali se lahko bistveno izboljša
prepustnost omreţja. Omreţje se lahko razdeli na hrbtenico in na manjša podomreţja. Čim
več prometa naj bo znotraj posameznega podomreţja. Hrbtenica mora prenašati ves
medomreţni promet, ki nastane na vseh segmentih. Uporabijo se lahko hitrejši protokoli in
hitrejše naprave, vendar v tem primeru samo za hrbtenico; za podomreţja se ponavadi
uporabijo počasnejši protokoli in oprema.
Obstaja več načinov, kako z uporabo stikal zmanjšati promet v velikih omreţjih. Ni
potrebno zamenjati vseh stikal in usmerjevalnikov naenkrat. Dandanes lahko zvezdišče
Omreţna stikala in komutacija LAN/WAN 14
enostavno zamenjamo s stikalom, saj so ţe po velikosti in videzu enaki, hkrati pa se
izognemo dodatnim stroškom z drugo strojno opremo. Najprej se zamenjajo tista
zvezdišča, na katerih se ugotovi največ prometa.
V kolikor so usmerjevalniki zamenjani s stikali, se poveča domena razpršenega oddajanja,
saj stikala prepuščajo ves promet z razpršenim naslavljanjem, usmerjevalniki pa ne. Ker pa
so trki v omreţju praktično onemogočeni, problem pošiljanja na vse naslove več ne
predstavlja velikega problema. Vsekakor pa stikala posredujejo ves odvečen promet, ki ga
ustvarijo nekateri računalniki v omreţju in ga morajo nato vsi ostali računalniki procesirati.
Stikala so lahko statična ali dinamična. V statična stikala je potrebno vpisati strojne
naslove postaj, ki so nanj priključene. Dinamična stikala pa sama tvorijo komutacijsko
tabelo. Izdelava tabele poteka po enakem principu kot pri omreţnem mostiču. Stikalo si
zapomni strojne naslove postaj, ki jih dobi iz prihajajočih okvirjev v OSI plasti L2.
Stikala v načinu delovanja »shrani in posreduj« (ang. Store and Forward) shranijo okvirje,
dokler se ne posredujejo naprej. Vsaka vrata imajo lahko svoj predpomnilnik, v katerega so
shranjeni prispeli paketi (lahko imajo tudi skupnega). Ko se okvir shrani v stikalu, se
preveri CRC (ang. Cyclic Redundancy Check). Če stikalo zazna napako, se okvir zavrţe.
Ker se napaka pošiljatelju ponavadi ne javlja, na ta način dodatno zmanjšamo promet v
omreţju. Takšna stikala so bila nekoč bistveno draţja od običajnih. Danes delujejo stikala
samo še v tem načinu.
Omreţna stikala in komutacija LAN/WAN 15
4 UVOD V KONFIGURACIJO STIKAL
Eden od glavnih razlogov, da je Cisco številka ena na trgu omreţnih naprav, je predvsem v
tem, da ima svoj medmreţni operacijski sistem IOS (ang. Internetwork Operating System).
IOS, ki zagotavlja podobno funkcijo, kot jo Microsoft Windows XP ali Linux, je namenjen
nadzoru in upravljanju strojne opreme, na kateri se izvaja. V bistvu IOS zagotavlja
vmesnik med uporabnikom in strojno opremo, ki omogoča izvajanje ukazov. Prvotno je bil
IOS razvit za Cisco usmerjevalnike, toda v zadnjih nekaj letih je Cisco prenesel IOS na
druge platforme, vključno s Cisco segmentom stikal Catalyst. Cisco je več let izboljševal
in spreminjal IOS ter dodajal nove funkcije, ki so bile uvedene na trţišču. Nekatere
prednosti IOS-a so:
lastnosti: vključuje široko paleto funkcij za protokole in funkcije, ki zagotavljajo
povezljivost, razširljivost, zanesljivost in varnostne rešitve za omreţje vseh
velikosti;
povezljivost: podpira različne OSI plasti in s tem različne tehnologije LAN in
WAN, vključno z bakrenimi in optičnimi kabli, pa tudi brezţično podporo na OSI
plasti L1;
razširljivost: podpira tako fiksne kot modularne platforme šasije, ki omogočajo
dokup ustrezne strojne opreme in so prilagodljive novim zahtevam. S prilagojenimi
slikami operacijskega sistema in z njimi povezanega ukaznega vmesnika (ang. IOS
CLI) se dodatno zmanjšajo stroški upravljanja;
zanesljivost: da bi zagotovil dosegljivost kritičnih virov, je Cisco razvil različne
produkte in IOS funkcije za zagotavljanje le-teh;
varnost: omogoča restriktivni nadzor dostopa do omreţja in naprave v njem v
skladu z notranjo politiko varnosti podjetja.
Zaradi uspeha programske opreme IOS je Cisco v nekaj več kot desetletju zrasel iz garaţe
v eno izmed največjih druţb na svetu, ki izdeluje usmerjevalnike, stikala itd. Večina
podjetij, ki se ukvarjajo s postavljanjem omreţij LAN, pa tudi ponudniki internetnih
storitev, velikokrat uporabljajo Cisco opremo v takšni ali drugačni obliki. Dejansko velik
del internetne hrbtenice sestavlja Cisco oprema.
Omreţna stikala in komutacija LAN/WAN 16
4.1 Zagon stikala
Do naprave lahko dostopamo in jo nastavljamo na različne načine, vključno preko
naslednjih fizičnih vrat:
konzolna vrata,
vrata za oddaljen dostop (AUX),
USB,
omreţni vmesniki.
Protokoli, ki se po navadi uporabljajo za vzpostavitev povezave, so:
Telnet (omreţni protokol),
SSH (ang. Secure Shell),
HTTP in HTTPs s spletnim brskalnikom,
SNMP (ang. Simple Network Management Protocol) upravljanje postaje.
Konzolni serijski vmesnik omogoča dostop do naprave s t. i. zrcalnim kablom in z ustrezno
aplikacijo za komunikacijo (npr. Hyperterm, v katerega vnesemo ukaze v vrstičnem
načinu). Če ţelimo napravo upravljati oddaljeno, moramo najprej zagotoviti osnovne
nastavitve, vključno z IP naslovi na napravi. Za prvo konfiguracijo naprave je večinoma
potrebno dostopati preko konzolnih vrat.
Preden začnemo z nastavitvami naprave, jo moramo najprej priključiti na napajalno
omreţje in vzpostaviti terminalsko povezavo s konzolnim vmesnikom. Ob zagonu naprave
se izvedejo trije koraki:
opravi se test strojne opreme,
poišče in naloţi ter zaţene se IOS,
poiščejo in izvršijo se nastavitvene datoteke.
Omreţna stikala in komutacija LAN/WAN 17
4.2 Konfiguracija stikala
Ko izvedemo osnovno omreţno konfiguracijo naprave, se ob zagonu ponavadi privzeto
aktivira mnogo mehanizmov in programskih komponent. To je ena izmed prednosti za
uporabnika. Stikala proizvajalca Cisco ţe ob zagonu aktivirajo osnovne storitve, ki
zagotavljajo izhodiščno učinkovito delovanje LAN. Vsaka vrata stikala predstavljajo
domeno trkov. Z samo eno napravo, povezano na vrata, so trki na povezavi med odjemalci
onemogočeni, s tem pa je zagotavljen optimalni podatkovni pretok. Stikala Cisco so
zmogljiva tudi s stališča strojne komutacije. Izvajajo paketno filtriranje in posredovanje
okvirjev z ASIC (ang. Application Specific Integrated Circuit) strojno opremo.
Novo stikalo ob zagonu nima privzetih nastavitev, zato mu moramo nastaviti parametre z
uporabo različnih konfiguracijskih načinov. Ponavadi to storimo v vrstičnem ukaznem
vmesniku operacijskega sistema IOS (ang. Command Line Interface). Po osnovni
konfiguraciji stikala lahko naknadno izvedemo preverbo, spremembo in brisanje
konfiguracijskih nastavitev stikala v različnih konfiguracijskih načinih odvisno od
nastavitev, ki jih ţelimo spremeniti. Primarna konfiguracijska načina Cisco IOS sta
uporabniški in administratorski način ter globalni konfiguracijski način, iz katerega
nastavljamo vmesnike in ostale specifične nastavitve. Vsak način ima specifične ukaze za
aktivacijo dodatnih storitev. Uporabniški način je omejen zgolj na pregled določenih
nastavitev, konfiguracija naprave pa je moţna šele v administratorskem načinu. Iz tega
načina lahko dostopamo v globalni konfiguracijski način. Globalni konfiguracijski način je
način podrobnejše konfiguracije nastavitev stikala, vključno z nastavitvijo vmesnikov in
linij. Cisco IOS ukazi se lahko med seboj razlikujejo pri različnih serijah stikal.
Najprej je potrebno poznati osnovne načine konfiguracije stikala. Med njimi so
najpogosteje uporabljeni:
User EXEC mode – uporabniški način (Ime naprave>),
Privilege EXEC mode – administratorski način (Ime naprave#),
Global configuration mode – globalni konfiguracijski način (Ime
naprave(config)#),
Omreţna stikala in komutacija LAN/WAN 18
Interface configuration mode – konfiguracijski način vmesnika (Ime
vmesnika(config-if)#).
Iz uporabniškega načina preidemo v administratorski način z ukazom enable, kasneje pa
preidemo v globalni konfiguracijski način z ukazom configure terminal. V
konfiguracijski način vmesnika pridemo s pomočjo ukaza interface ime_vmesnika (npr.
interface fastethernet 0/1).
Osnovni ukazi za konfiguracijo stikal Cisco
Pomembno je poznati osnovne korake konfiguracije Cisco stikal s pripadajočimi ukazi in
načine delovanja Cisco stikal za izboljšanje zmogljivosti omreţja.
Spodaj je navedenih nekaj osnovnih konfiguracijskih ukazov Cisco stikal:
interface vlan 1 globalni ukaz za konfiguracijo vmesnika za VLAN,
ip default-gateway nastavimo privzeti prehod,
ip address [naslov][maska podomreţja] nastavimo konfiguracijo vmesnika z
logičnim IP naslovom in s pripadajočo omreţno masko,
interface fast Ethernet 0/x preidemo v ustrezen vmesnik z zaporedno števko x
(npr. 0/1, 0/2 …),
speed {10/100/1000/auto/nonegotiate} vmesniku izjemoma nastavimo hitrost,
duplex {auto/full/half} izjemoma nastavimo komunikacijski način vmesnika,
switchport port-security mac-address dodamo statičen MAC-naslov za dostop
do vrat stikala,
switchport port-security violation {protect/restrict/shutdown} s tem ukazom
določimo način ukrepanja v primeru nepooblaščenega MAC-naslova pri dostopanju
skozi varna vrata stikala,
switchport port-security maximum [value] nastavimo maksimalno število
dovoljenih MAC-naslovov na vmesniku,
hostname [name] stikalu priredimo ime,
Omreţna stikala in komutacija LAN/WAN 19
line vty 0 15 nastavimo navidezne terminale (vty), ki se uporabljajo za nastavitev
storitev dostopa preko Telneta, SSH in FTP (ang. File Transfer Protocol),
line con 0 nastavimo parametre konzole,
login pri prijavi na konzolni ali navidezni vmesnik zahtevamo geslo,
password[password] s tem ukazom nastavimo geslo,
enable password [password] s tem ukazom nastavimo nešifrirano geslo za
dostop v administratorski način,
enable secret [password] s tem ukazom nastavimo šifrirano geslo,
configure terminal s tem ukazom vstopimo v globalni konfiguracijski način,
show interfaces fastethernet 0/x ta ukaz izpiše status vmesnika,
show [running/startup]-config ta ukaz izpiše konfiguracijski datoteki v
RAM/NVRAM,
show-mac-address-table ta ukaz izpiše tabelo MAC-naslovov,
show port-security: [vmesnik] [naslov] ta ukaz izpiše izbrani način varnosti na
stikalu,
show version ta ukaz izpiše status strojne in programske opreme naprave
(stikala),
show history ta ukaz prikaţe zadnjih deset ukazov,
no shutdown s tem ukazom aktiviramo vmesnik,
erase startup-config ta ukaz izbriše zagonsko konfiguracijo.
Omreţna stikala in komutacija LAN/WAN 20
5 PROTOKOL VPETEGA DREVESA – STP
5.1 Uvod v redundantne topologije
Redundanco topologije lahko doseţemo z več uporabljenimi povezavami, več napravami
ali obojim. Pomembno je, da zagotovimo več kot zgolj eno povezavo, hkrati pa se
izognemo strukturam z enim samim mestom. Na Sliki 5.1 je razvidna preprosta
redundantna topologija med segmentoma 1 in 2.
Slika 5.1: Redundantna topologija
Redundantne zasnovo lahko odstranimo z okvaro posamezne točke, ki povzroči
nedelovanje celotnega komutiranega ali mostičenega omreţja. Zato moramo predvideti
tudi probleme, ki se lahko pojavijo z redundantnimi povezavami in napravami v
komutiranih ali mostičenih omreţjih. Ti so:
nevihta razpršene oddaje (ang. Broadcast Storm): z nekaterimi povratnimi
zankami vsako stikalo ali omreţni mostič preplavlja. Preplavljanje okvirjev je
scenarij neskončnega posredovanja razpršeno poslanih okvirjev. Ta scenarij lahko
označimo tudi kot nevihto razpršene oddaje.
večkratni prenos okvirja (ang. Multiple Frame Transmission): na ponor lahko
prispe več kopij oddanega okvirja. Večina protokolov predpostavlja, da bo prejela
Omreţna stikala in komutacija LAN/WAN 21
samo eno kopijo vsakega okvirja. Več kopij istega okvirja lahko povzroči
nepopravljive napake.
nestabilnost tabele MAC-naslovov (ang. MAC Database Instability): nestabilnost
fizičnih naslovov MAC tabele je posledica kopije istega okvirja, ki ga stikalo
sprejme na različnih vratih.
OSI plast L2 LAN protokoli, kot je npr. eternet, nimajo implementiranega mehanizma za
prepoznavanje ali odstranitev ponavljajočih se okvirjev neskončne zanke. OSI plast L3
protokoli, kot je npr. IP, izvajajo preverjanje ţivljenjskega cikla paketa s parametrom TTL
(ang. Time-To-Live) v IP paketu. Mehanizem omejuje število časa prisotnosti paketa v
OSI plasti L3. Tako ostane več prostora za pakete ostalega prometa. Ker tak mehanizem v
OSI plasti L2 ni implementiran, lahko okvirji kroţijo v omreţju nedoločen čas.
Mehanizem izogibanja zankam je nujno potreben, saj z njim rešujemo omenjene probleme.
Prepoznavanje izhoda redundantne topologije komutacije
Zaradi preprostega algoritma, ki ga uporabljajo naprave OSI plasti L2 za posredovanje
okvirjev, je potrebno številna vrata stikala oziroma izhode upravljati z redundantnimi
povezavami. Čeprav te izhode upravlja z v naprave vgrajeno tehnologijo, ima njena
odpoved velik vpliv na omreţne izpade. Kakšen je ta vpliv, bomo poskušali razloţiti na
primerih.
Obnašanje stikal v primeru razpršeno oddanih okvirjev
Stikala obravnavajo razpršeno in večponorno oddajanje drugače od enoponornega načina,
kjer se posamezen okvir posreduje zgolj enemu prejemniku. Razpršeno in večponorno
oddajanje je v interesu vseh postaj, stikal ali omreţnih mostičev, ker normalno preplavljajo
razpršeno in večponorno oddajanje na vsa vrata razen izvirnih vrat. Stikala in omreţni
mostiči se ne učijo iz razpršenega in večponornega prometa, saj v teh okvirjih ni
eksplicitno navedenega ciljnega uporabnika. Preplavljanje razpršenega in večponornega
prometa lahko povzroči velike teţave v redundantni topologiji komutacije. Slika 5.2
Omreţna stikala in komutacija LAN/WAN 22
prikazuje scenarij, ko razpršeno oddan okvir iz računalnika D preplavlja vsa vrata na
stikalu.
Slika 5.2: Preplavljanje razpršeno oddanega okvirja
Nevihta razpršeno oddanih okvirjev
Do nevihte razpršenega oddajanja pride, ko stikala v redundantnem omreţju preplavljajo
razpršeno oddane okvirje v neskončni zanki. Razpršeno oddani okvirji so posredovani na
vsa vrata, razen tistih, na katerih je bil okvir prejet.
Slika 5.3: Nevihta razpršeno oddanih okvirjev
Omreţna stikala in komutacija LAN/WAN 23
V nadaljevanju so opisana zaporedja dogodkov, ki se zgodijo z nevihto razpršeno oddanih
okvirjev, kot je prikazano na Sliki 5.3:
1. Ko streţnik X pošlje okvirje razpršeno, npr. ARP (ang. Address Resolution
Protocol) zahtevo, prispejo le-ti na privzeti prehod (usmerjevalnik Y), Stikalo A in
Stikalo B.
2. Stikalo A ugotovi, da gre za razpršen okvir in ga posreduje Segmentu 2. Podobno
se zgodi Stikalu B.
3. Ko je razpršeno poslan okvir posredovan v Segment 2, Stikalo B ugotovi, da gre za
razpršeno poslan okvir in ga zato posreduje v Segment 1.
4. Ker izvorni razpršeno oddan okvir prispe tudi do Stikala B na Segmentu 1, se
posredovanje ponovi tudi na Stikalu B za Segment 2.
5. Procedura se rekurzivno ponavlja na obeh stikalih – nevihta razpršenih okvirjev.
Nevihta razpršeno oddanih okvirjev lahko bistveno vpliva na regularen promet na stikalih.
Zgodi se lahko, da preobremenijo vse naprave v komutiranem oziroma mostičenem
omreţju, saj mora CPU (ang. Central Process Unit) v vsaki napravi na vsakem segmentu
procesirati vse razpršeno oddane okvirje. Na tak način se lahko preobremenijo vsi
odjemalci v LAN od osebnih računalnikov do streţnikov, katerih omreţne kartice so
preobremenjene s procesiranjem razpršeno oddanih paketov.
Potrebno je torej aktivirati mehanizem, ki bo preprečeval posredovanje razpršeno in
večponorno oddane okvirje v napačen segment omreţja.
Kopije okvirjev
V redundantni topologiji lahko več kopij istih okvirjev prispe na ciljni streţnik, zaradi
česar nastopijo teţave s komunikacijskimi protokoli. Večina protokolov ni zasnovana tako,
da bi identificirala kopije okvirjev ali se spopadala z dvojnimi prenosi okvirjev. Tako lahko
protokoli, ki uporabljajo mehanizem sekvenčnega številčenja, npr. TCP (ang. Transmission
Control Protocol), podvajane okvirje napačno interpretirajo. To se zgodi zato, ker lahko
domnevajo, da mnogo prenosov ni uspelo in da nadzor s sekvenčnim številčenjem ni
Omreţna stikala in komutacija LAN/WAN 24
uspešen. Drugi protokoli poskusijo posredovati podvojene prenose do ustreznega
nadleţečega protokola (ang. Upper-Layer Protocol), kar pa ima lahko nepredvidljive
posledice.
Slika 5.4: Podvajanje okvirjev
V nadaljevanju je opisan scenarij, ko več kopij istih okvirjev prispe na ciljni streţnik, kot
je prikazano na Sliki 5.4:
1. Ko streţnik X pošlje okvirje enemu prejemniku k usmerjevalniku Y, hkrati pošlje
še eno kopijo preko eternet povezave Segmentu 1. Tako Stikalo A prejme hkrati
kopijo okvirja in jo shrani v medpomnilnik.
2. Če ima Stikalo A tabelo CAM (ang. Content Addressable Memory ) prazno, potem
ciljnega naslova (usmerjevalnik Y) ne najde v tabeli preslikav MAC, okvir pa
posreduje naprej v Segment 2.
3. Ko prejme Stikalo B kopijo okvirja po Segmentu 2, prav tako posreduje kopijo
okvirja Segmenta 1, saj v svojo MAC-tabeli nima preslikave za ciljni naslov.
4. Usmerjevalnik Y prejme kopijo istega okvirja.
Mehanizem preprečevanja zank odpravi ta problem z blokiranjem enega izmed štirih
vmesnikov stikal, kar pomeni, da zlomi zanke. Vseeno je, ali blokira vmesnik Segmenta 2
na Stikalu A ali B; pomembno je, da povratna zanka preko Segmenta 2 ni več moţna.
Omreţna stikala in komutacija LAN/WAN 25
Nestabilnost tabele preslikav MAC
Nestabilnost tabele preslikav MAC je posledica mnoţice kopij okvirjev na različnih vratih
stikala. V nadaljevanju bomo opisali, kako lahko pride do nestabilnosti tabele MAC in
izpostavili probleme, ki jih lahko povzroči.
Slika 5.5 prikazuje problem nestabilnosti tabele MAC. Stikalo B beleţi vnose v tabelo
preslikav CAM. Preslika MAC-naslov Streţnika X na vrata 1 Stikala A in vrata 1 stikala
B, na katera je prispel okvir s streţnika. Zaradi zanke med obema stikaloma se okvir
posreduje tudi Stikalu B in Stikalu A po Segmentu 2. Obe stikali v CAM-tabelo zmotno
zabeleţita, da je Streţnik X na Segmentu 2.
Mehanizem izogibanja zank z blokiranjem ustreznih vrat prepreči, da bi se zgodil zgoraj
opisan scenarij.
Slika 5.5: Nestabilnost tabele preslikav MAC
Reševanje zank s STP
Protokol vpetega drevesa ali STP (ang. Spanning Tree Protocol) zagotavlja odpravljanje
zank z upravljanjem fizičnih povezav med stikali v omreţnem segmentu. STP dovoli
redundantne fizične povezave, medtem ko prepreči neţelene učinke zank v omreţju z
blokiranjem vmesnikov.
Omreţna stikala in komutacija LAN/WAN 26
Slika 5.6 prikazuje, kako blokirana vrata preprečujejo pretok prometa med segmenti.
Slika 5.6: Blokiranje vrat
5.2 Uvod v STP
STP, protokol vpetega drevesa, je omreţni protokol podatkovno-povezovalne plasti OSI, ki
zagotavlja topologijo povezav brez zank za vsak mostičen LAN. Tako je osnovna funkcija
STP preprečiti zanke, nastale zaradi redundantnih povezav med mostiči/stikali, in
posledično probleme, ki z zankami nastanejo.
V OSI modelu uvrščamo STP v OSI plast L2. STP je standardiziran pod okriljem IEEE
pod oznako 802.1D. Kot pove ţe ime samo, je bil STP zasnovan kot vpeto drevo znotraj
zankastega omreţja (tipično eternet stikalo) za onemogočitev tistih povezav, ki niso del
vpetega drevesa. Aktivna je samo po ena povezava med dvema omreţnima vozliščema.
Vpeto drevo omogoča oblikovanje omreţja z vključitvijo redundantnih povezav, ki
zagotovijo nadomestne poti, če aktivna povezava odpove brez nevarnosti povratnih zank
ali potrebe za ročno omogočanje/onemogočanje redundantnih povezav. Kot ţe omenjeno,
se moramo zaradi prej omenjenih teţav s preslikavo MAC-naslovov in preplavljanjem
razpršeno oddanih paketov zanki izogniti.
Razvoj STP in razširjenost
Prvi protokol vpetega drevesa je zasnoval leta 1985 Radia Perlman, medtem ko je delal za
podjetje DEC (ang. Digital Equipment Corporation). V letu 1990 je IEEE izdalo prvi
Omreţna stikala in komutacija LAN/WAN 27
standard za ta protokol. Njegova oznaka 802.1D temelji na osnovi modela algoritma, ki ga
je razvil Perlman. Kasnejša verzija je bila nadgrajena najprej leta 1998 in nato leta 2004,
kar označujejo različne končnice k izvirni oznaki standarda. Čeprav je bil namen standarda
zagotoviti kompatibilnost opreme različnih proizvajalcev, ni bilo zagotovila, da bodo
različne izvedbe standarda medsebojno delovale. IEEE spodbuja proizvajalce, da
zagotovijo t. i. PICS (ang. Protocol Implementation Conformance Statement), tj. pomoč
uporabnikom pri izbiri različnih izvedb STP, ki bodo medsebojno pravilno delovale.
Prvotni Perlmanov protokol vpetega drevesa, ki se imenuje DEC STP, ni bil
standardiziran. Od IEEE različice se razlikuje ţe v formatu sporočila, kot tudi v
nastavitvah časovnika. Nekateri mostiči so podpirali oboje: bodisi IEEE različico bodisi
DEC različico protokola vpetega drevesa, vendar njihovo medsebojno usklajevanje
predstavlja izziv za omreţnega administratorja.
5.3 Konvergenca STP
Omreţje mostičev/stikal v LAN-ih lahko obravnavamo kot graf, katerega vozlišča so
mostiči, povezave med vozlišči pa LAN segmenti (ali kabli), katerih robovi so vmesniki, ki
povezujejo mostiče v segmente. Stikala imajo v vpetem drevesu različne vloge: eno stikalo
je korensko, ostala pa so povezovalna.
Za ustrezno prekinitev zank v LAN in hkratno povezljivost vseh LAN segmentov, mostiči
skupaj izračunajo vpeto drevo. Ni nujno, da se vpeto drevo tvori glede na najmanjši strošek
oziroma ceno posamezne povezave. Omreţni administrator lahko optimira stroške vpetega
drevesa s spremembo konfiguracije nekaterih parametrov mostičev/stikal na tak način, da
vplivajo na izbiro glavnega mostiča/stikala in kategorizacijo ostalih mostičev/stikal v
vpetem drevesu.
Vpeto drevo se za mostiče izračuna z uporabo protokola vpetega drevesa, ki jim določi
vlogo v vpetem drevesu. Lahko pa njihovo vlogo določimo tudi s pomočjo pravil, tj. ročno.
Primer omreţja za ponazoritev pravil je prikazan na naslednjih slikah.
Omreţna stikala in komutacija LAN/WAN 28
Slika 5.7: Primer omreţja, kjer oštevilčeni kvadrati predstavljajo mostiče/stikala (številka
predstavlja t. i. identifikacijsko številko mostiča), oblački pa omreţne segmente.
Korenski mostič. Korenski mostič/stikalo vpetega drevesa je mostič z najniţjo
identifikacijsko številko – korenski mostič (ang. Bridge ID). Vsak mostič identificira
identifikacijska številka, ki je sestavljena iz prioritetne številke mostiča, številke VLAN-a
in najniţjega MAC-naslova vmesnikov stikala. Pri identifikaciji dveh mostičev se najprej
primerja njuna prioriteta. Če imata dva mostiča enako prioriteto, potem primerjamo še
njune MAC-naslove. Primer: če je najniţji MAC stikala A (0200.000.1111) in najniţji
MAC stikala B (0200.0000.2222), oba pa imata prioriteto 10, potem bo identifikacijska
številka stikala A niţja. Če omreţni administrator ţeli, da stikalo B postane korenski
mostič, mora nastaviti prioriteto na manj kot 10.
Omreţna stikala in komutacija LAN/WAN 29
Slika 5.8: Izbira glavnega mostu z najniţjo identifikacijsko številko
Najnižja cena poti do korenskega mostiča: v izračunanem vpetem drevesu so povezave
med mostiči izbrane tako, da promet od katerekoli priključene naprave do korenskega
mostiča prečka omreţje po najcenejši povezavi (najhitrejše povezave). Različne izvedenke
STP imajo različno privzeto tarifiranje povezav za omreţne segmente. Administrator lahko
nastavi stroške povezave za določen omreţni segment ročno.
Promet vedno ubere najcenejšo pot do korenskega mostiča/stikala zaradi naslednjih
vsebovanih pravil:
Najnižja cena povezav iz vsakega mostiča. Po izbiri korenskega mostiča določi
STP vsak ostali mostič v omreţju za vsako moţno povezavo do korenskega
mostiča. Od vseh moţnih povezav je izbrana tista z najniţjo ceno (najzmogljivejša
povezava). Vrata, ki povezujejo najcenejšo povezavo proti korenskemu stikalu, se
označijo kot korenska vrata (ang. Root Port). Na Sliki 5.9 so korenska vrata stikal
označena s KV.
Omreţna stikala in komutacija LAN/WAN 30
Slika 5.9: Določitev korenskih vrat stikal glede na ceno povezave do korenskega stikala
Najnižja cena povezave iz vsakega omrežnega segmenta. Mostiči v posameznem
omreţnem segmentu določajo, kateri izmed njih ima najcenejšo pot iz omreţnega
segmenta do korenskega stikala. Vrata mostiča segmenta, ki ima cenejšo povezavo
do korenskega stikala, se označijo kot povezovalna vrata (ang. Designated Port).
Primer: Ob predpostavki, da je cena prehoda vsakega omreţnega segmenta 1,
najniţji stroški poti od mostičev iz segmenta f do korenskega stikala pa so preko
stikala z BID=4, gre ves omreţni promet iz segmenta f preko tega stikala in
segmenta c. Vrata na stikalu na drugem koncu segmenta f z BID=5 se blokirajo.
Omreţna stikala in komutacija LAN/WAN 31
Slika 5.10: Določitev povezovalnih vrat glede na ceno povezave segmenta s korenskim
stikalom.
Blokirajo se vse druge poti. Vsaka aktivna vrata, ki niso korenska ali povezovalna, se
blokirajo. Primer: Najniţji stroški poti do korenskega stikala od omreţnega segmenta so z
izbiro povezave preko mostiča 92. Povezovalna vrata so zato tista, ki povezujejo omreţni
segment z mostičem 92 (Slika 5.10).
Slika 5.11: STP vsa aktivna vrata, ki niso korenska ali povezovalna, blokira.
Omreţna stikala in komutacija LAN/WAN 32
Posebni scenariji. Zgoraj navedena pravila omejujejo moţne scenarije kategorizacije vrat,
saj je moţno, da obstaja več enakovrednih povezav iz enega segmenta. Primer: Dvoje ali
več vrat na mostiču, ki predstavlja najcenejšo povezavo do korenskega mostiča. Lahko se
tudi zgodi, da obstajata dva ali več mostičev na istem omreţnem segmentu. Za obravnavo
takšnih primerov obstajajo dodatna pravila:
Odločanje med več kandidati za korenska vrata. Ko obstaja več vrat, ki bi lahko bila
izbrana kot korenska in imajo isto ceno povezave proti korenskemu stikalu, se kot
korenska izberejo tista, ki so povezana na sosednji mostič z niţjo identifikacijsko številko.
Primer: Če bi bilo stikalo 4 na Sliki 5.9 povezano na omreţni segment d preko stikala 92,
bi obstajali dve poti z enakovredno ceno do korenskega stikala. Ena pot bi potekala skozi
mostič z BID=24, druga pa preko stikala 92. Ker obstajata dve po ceni ekvivalentni poti, se
kot korenska izberejo tista vrata, ki vodijo do korenskega stikala preko mostiča z niţjo
identifikacijsko številko BID=24.
Odločanje med več kandidati za povezovalna vrata. Kadar je na segmentu (npr. segmentu
d) več kot en mostič, ki vodi do korenskega mostiča, se kot povezovalni mostič izbere
mostič z niţjo identifikacijsko številko. Pripadajoča vrata na tem mostiču so povezovalna
vrata. Na Sliki 5.10 obstajata dve enakovredni poti od omreţnega segmenta d do
korenskega stikala: ena vodi preko mostiča 24, druga pa preko mostiča 92. Niţja
identifikacijska številka določa, kateri mostič bo povezovalen za ta segment. V primeru, da
bi imela oba mostiča enako identifikacijsko številko, bi se kot povezovalen mostič izbral
tisti, ki ima niţji MAC-naslov na vratih. Vrata z niţjim MAC so torej v tem primeru
povezovalna, vrata z višjim MAC pa bodo blokirana.
Omreţna stikala in komutacija LAN/WAN 33
Slika 5.12: V primeru odpovedi povezave vpetega drevesa algoritem izračuna in premosti
izpad z novo, najcenejšo povezavo v drevesu.
STP stanja vrat stikala
Pri posredovanju prometa gredo vrata stikala skozi naslednjih pet stanj (kot neke vrste
avtomat):
blokiranje,
poslušanje,
učenje,
posredovanje,
onemogočeno stanje.
Omreţna stikala in komutacija LAN/WAN 34
Slika 5.13: Stanje vmesnika vpetega drevesa
Od teh petih stanj se uporabljajo, medtem ko algoritem teče, le prva štiri.
Blokiranje
Vrata vstopijo v stanje blokiranja, če je izpolnjen eden od treh pogojev:
volitev korenskega stikala (npr. ko vklopimo vsa stikala v omreţju);
prejetje izmenjevalnega okvirja BPDU (ang. Bridge Protocol Data Unit), ki
vsebujejo informacijo o boljši poti do korenskega stikala, kot jo predstavljajo
trenutno izbrana vrata do korenskega stikala;
če vrata niso korenska ali posredovalna vrata.
Vrata bodo v stanju blokiranja ostala privzeto 20 sekund. V tem stanju poslušajo in
procesirajo prejete BDPU. Vse druge okvirje, ki jih stikalo prejme na ta vrata, stikalo
zavrţe. V stanju blokiranja poskuša stikalo odločiti, katera vrata bodo korenska, katera
posredovalna in katera bodo ostala v stanju blokiranja zaradi prekinitve zank v omreţju.
Omreţna stikala in komutacija LAN/WAN 35
Poslušanje
Po pretečenih 20 sekundah se bo stanje vrat iz blokiranja spremenilo v stanje poslušanja. V
tem stanju vrata še vedno pregledujejo BPDU in dvojno preverjajo topologijo OSI plasti
L2. Edini promet, ki se na vratih pregleduje, je iz BPDU, ves ostali promet pa se blokira.
Vrata bodo ostala v tem stanju za čas zakasnitve posredovanja (ang. Forward Delay
Timer), katerega privzeta vrednost je 15 sekund.
Učenje
Iz stanja poslušanja se vrata premaknejo v stanje učenja. V tem stanju bodo vrata še vedno
procesirala na vratih prejete BPDU, hkrati pa procesirala tudi MAC-naslove prejetih
podatkovnih okvirjev. Pri obdelavi podatkovnih okvirjev stikalo preučuje vir naslova v
okvirju in posodobi lastno tabelo preslikav MAC. Podatkovnega prometa pa še vedno ne
posreduje. Vrata ostanejo v tem stanju za čas zakasnitve posredovanja kot v stanju
poslušanja (privzeta vrednost 15 sekund).
Posredovanje
Ko se čas posredovanja izteče, vrata preidejo iz stanja učenja v stanje posredovanja. V
stanju posredovanja vrata procesirajo BPDU, posodabljajo lastno MAC-tabelo preslikav in
posredujejo prejeti podatkovni promet.
Onemogočeno stanje
Onemogočeno stanje je posebno stanje vrat. V tem stanju vrata ne sodelujejo v STP. To
stanje nastopi npr. tedaj, ko administrator ročno onemogoči vrata (ang. Shutdown) in jih
ročno odstrani iz procesa STP. Vrata so lahko onemogočena zaradi varnosti izhodov ali
zaradi problemov v OSI fizični plasti L1 (npr. prekinjen ali odklopljen kabel).
Omreţna stikala in komutacija LAN/WAN 36
Hitrost prenosa podatkov in cena poti v STP
Tabela 5.1: Posodobljena tabela hitrost prenosa in cene povezav za STP
Hitrost prenosa
podatkov
STP strošek (802.1D)
4 Mb/s 250
10 Mb/s 100
16 Mb/s 62
100 Mb/s 19
1 Gb/s 4
2 Gb/s 3
10 Gb/s 2
STP časovniki
Delovanje protokola vpetega drevesa je odvisno od treh nastavljivih časovnikov: časovnika
periodičnosti BPDU (»hello« paketki), časovnika zakasnitve posredovanja in časovnika
veljavnosti BPDU. Ker je pomembno, da so časovniki vseh mostičev v drevesu usklajeni,
za njihovo uskladitev poskrbi korensko stikalo. Le-to BPDU paketkom zabeleţi vrednosti
časovnikov in jih pošilja vsem mostičem v drevesu. Ostali posredovalni mostiči ne
spreminjajo vrednosti časovnikov BPDU pri posredovanju. Zato lahko vrednost časovnika
nastavimo samo na korenskem mostiču.
Omreţna stikala in komutacija LAN/WAN 37
Tabela 5.2: STP časovniki
Časovnik Primarni namen Privzete vrednosti [s]
Časovnik
periodičnosti
BPDU
Čas med pošiljanjem BPDU paketkov
korenskega stikala
2
Časovnik
zakasnitev
posredovanja
Določa, kako dolgo je mostič v stanju
poslušanja in učenja, preden preide v stanje
posredovanja
15
Časovnik
veljavnosti
BPDU
Določa čas zastaranje informacije v
prejetem BPDU
20
Časovnik periodičnosti BPDU nadzira časovni interval med pošiljanjem BPDU. 802.1D
določa, da je privzeta vrednost nastavitve časovnika dve sekundi. Ta čas nadzira
periodičnost BPDU na korenskem stikalu. Ostala posredovalna stikala generirajo
periodične BPDU šele na prejetje BPDU iz korenskega stikala. Če pride do izpada BPDU
iz korenskega stikala (2–20 sekund, npr. zaradi motenj v omreţju), posredovalna stikala
prenehajo s posredovanjem BPDU. Če posredovalno stikalo ne prejme novih BPDU v
času, ko se časovnik veljavnosti BPDU izteče, potem vstopi v proceduro iskanje novih
korenskih vrat.
Zakasnitev posredovanja je čas mostiča v stanju poslušanja in učenja. To je vrednost, ki
nadzira trajanje obeh stanj. Privzeta vrednost je 15 sekund in je bila prvotno ugotovljena
ob predpostavki, da je moţno vpeto drevo razseţnosti največ sedem mostičev pri največ
treh izgubljenih BPDU in s časovniki periodičnosti, nastavljenimi na 2 sekundi.
Čas veljavnosti BPDU je čas veljavnosti informacije v BPDU, ki ga pridobi mostič,
preden se le-ta zavrţe. Vsaka vrata shranijo kopijo najboljše BPDU, ki so jo prejela. Tako
dolgo kot mostič prejema periodične BPDU, osveţuje informacijo v internem pomnilniku.
Če te informacije ne dobiva več, obstaja velika verjetnost, da je korensko stikalo
odpovedalo. Posredovalno stikalo vstopi v proceduro iskanja novega korenskega stikala.
Omreţna stikala in komutacija LAN/WAN 38
BPDU
Za delovanje STP je potrebna izmenjava informacij med stikali. Stikala bodo uporabljala
BPDU za učenje omreţne topologije (katera stikala so povezana s katerimi stikali).
Če se odkrije zanka med povezavami, bo stikalo logično onemogočilo ustrezna vrata v
topologiji. Upoštevamo, da se vrata dejansko ne izključijo, ampak preidejo v onemogočeno
stanje za uporabniški promet. Iz ene naprave v drugo napravo v OSI plasti L2 obstaja samo
ena povezava. Če pride do spremembe v OSI plasti L2 (npr. da dodamo novo povezavo ali
novo stikalo), bodo stikala še naprej delila informacije, vendar brez ponovne izvršitve
algoritma STP (razen na stikalu, ki smo ga na novo vključili). Privzeto se BPDU razpošlje
vsaki 2 sekundi, s čimer se pospeši konvergenca. Konvergenca je čas, ki je potreben za
zaznavanje s spremembami in ponovnim delovanjem omreţja. Nastavitev časa in
oglaševanje BPDU vsaki 2 sekundi omogoča spremembe, ki se hitro delijo z drugimi
stikali v omreţju. Zaradi morebitnega neugodnega vpliva na delovanje omreţja zmanjšanje
tega časa ni priporočljivo.
BPDU vsebujejo veliko informacij, ki omogočajo stikalom ugotoviti topologijo in vse
zanke, ki iz nje izhajajo. Primer: Vsak mostič ima edinstveno identifikacijsko številko. Ko
stikala oglašujejo BPDU, se ta identifikacijska številka doda v BPDU, tako da lahko
stikalo izve, od katerega stikala prejme informacije o topologiji.
Polje BPDU
Identifikacijska številka korenskega mostiča ali BID je polje znotraj BPDU paketov. To
polje je dolgo osem zlogov. Prva dva zloga predstavljata prioriteto mostiča (ang. Bridge
Priority) – to so cela števila od 0 do 65535. Zadnjih šest zlogov prioritete mostiča je MAC-
naslov, ki identificira stikalo. Prva dva zloga pa se členita še dodatno. Prvi štirje biti
oblikujejo prioriteto, zadnjih 12 bitov pa nosi identifikacijsko številko VLAN.
Omreţna stikala in komutacija LAN/WAN 39
Zaščita proti napadom STP
Redundantne povezave se pojavijo v OSI plasti L2. Kadar redundantne povezave
povzročijo zanke, imajo te za posledico razpršeno oddajanje. Protokol vpetega drevesa
nadzira redundantne povezave in tako zagotavlja zgolj eno samo logično topologijo brez
zank, kar preprečuje moţnost razpršenega oddajanja.
STP zagotavlja upravljanje topologije z izvolitvijo enega samega stikala kot korenskega
oziroma glavnega mostiča. Omreţni administrator lahko vpliva na to, katero stikalo bo
korenski mostič z manipulacijo prioritete mostiča stikalo z najniţjo prioriteto mostiča bo
izvoljeno v korenski mostič. Vsakemu drugemu stikalu v omreţju se določijo t. i. korenska
vrata (ang. Root Port), ki so najbliţje korenskemu mostiču glede na ceno poti. Po izvolitvi
korenskega mostiča so vsa vrata na stikalu bodisi v stanju blokiranja (kjer stikalo podatkov
ne posreduje) bodisi v stanju posredovanja (kjer stikalo podatke posreduje). Če korenski
mostič odpove, STP ponovno izvoli novi korenski mostič. Vrata na stikalih ponovno
preidejo vsa stanja, značilna za STP.
Če ima napadalec dostop do vrat na dveh različnih stikalih, lahko na tej povezavi ustvari
navidezno sleparsko stikalo. To stikalo se lahko nato nastavi z najniţjo prioriteto mostiča
in se tako da izvoliti kot korenski mostič. Nato sleparsko stikalo v vlogi korenskega
generira BPDU in vpliva na novo strukturo STP topologije. Ves promet, ki potuje v
omreţju stikal, sedaj potuje preko sleparskega stikala in tako omogoči napadalcu, da
promet lahko zajame.
Na Sliki 5.14 je razvidna pot podatkov od PC1 do streţnika skozi SW2 in SW3 (korenski
mostič).
Omreţna stikala in komutacija LAN/WAN 40
Slika 5.14: Konvergenca STP omreţja
Če napadalec pridobi dostop do vrat na stikalih, lahko vstavi sleparsko stikalo, ki oglašuje
superiorne BPDU. Slednje povzročijo, da se sleparsko stikalo izvoli v korenski mostič.
Novi podatki o poti med PC1 in streţnikom (kot je prikazano na Sliki 5.15) tečejo skozi
sleparsko stikalo napadalca. Napadalec lahko nastavi eno izmed prostih vrat stikala kot t. i.
posredovalna vrata – SPAN (ang. Switch Port Analyzer) vrata. SPAN vrata lahko prejmejo
kopijo prometa vseh ostalih vrat oziroma VLAN.
Omreţna stikala in komutacija LAN/WAN 41
Slika 5.15: Umestitev sleparskega stikala
Običajno sta dva pristopa za zaščito omreţja tega tipa STP napada:
Zaščita s korensko stražo (ang. Root Guard). Korensko straţo lahko omogočimo
na vseh vratih stikal v omreţju, katerih korenski mostič se ni pojavil (to so vsaka
vrata, ki niso korenska vrata; vrata na vsakem stikalo upoštevajo, da so najbliţje
korenskemu mostiču). Če so vrata nastavljena za korensko straţo in prejmejo
superiorne BPDU namesto navadnih, gredo v t. i. korensko-nedosledno stanje.
Medtem ko so vrata v korensko-nedoslednem stanju, se nanje ne posreduje
podatkov. Ko se superiorni BPDU ne prejemajo več, se vrata vrnejo v posredovalno
stanje.
Zaščita z BPDU stražo (ang. BPDU Guard). BPDU straţa je omogočena na
vratih, ki so nastavljena na t. i. hitro posredovanje (ang. Portfast). Portfast je
omogočen na vratih, ki povezujejo končne uporabnike, kot so računalniki in
streţniki, saj v tem primeru protokol vpetega drevesa preskoči fazo blokiranja,
poslušanja in učenja. To zmanjšuje potreben čas, da vrata preidejo v stanje
Omreţna stikala in komutacija LAN/WAN 42
posredovanja. Logika Portfast je, da vrata, povezana s končno napravo, nimajo
potenciala za ustvarjanje zanke. Takšna vrata nikoli ne prejemajo BPDU.
5.4 Različice STP
RSTP (ang. Rapid Spanning Tree Protocol)
Leta 1998 je IEEE z dokumentom 802.1w predstavil razvoj protokola vpetega drevesa
oziroma hitri protokol vpetega drevesa, ki zagotavlja hitrejšo konvergenco vpetega drevesa
po spremembi topologije. Standard IEEE 802.1D – 2004 zdaj vključuje RSTP in STP. STP
lahko zahteva od 30 do 50 sekund, da se odzove na spremembe topologije, RSTP pa se je
običajno sposoben odzvati znotraj 3 t. i. sporočilnih »hello« paketkov (po privzeti
vrednosti je to 6 sekund).
RSTP vloge vrat mostiča:
korenska,
povezovalna,
alternativna,
rezervna,
onemogočena.
Vlogo korenskih in povezovalnih vrat imajo v aktivno topologijo vključena vrata. Vlogo
alternativnih in rezervnih vrat imajo iz aktivne topologije izključena vrata.
Stanje vrat nadzira procese posredovanja in učenja ter določa zavračanje, učenje in
posredovanje. V Tabeli 5.3 je primerjava RSTP stanja vrat s STP stanjem vrat.
Omreţna stikala in komutacija LAN/WAN 43
Tabela 5.3: Primerjava RSTP stanja vrat s STP stanjem vrat
Stanje delovanja STP stanje vrat RSTP stanje vrat Vrata, vključena v
aktivno topologijo
Omogočeno Blokiranje Zavračanje Ne
Omogočeno Poslušanje Zavračanje Ne
Omogočeno Učenje Učenje Ja
Omogočeno Posredovanje Posredovanje Ja
Onemogočeno Onemogočena Zavračanje Ne
PVST (ang. Per VLAN Spanning Tree)
PVST je lastniški Cisco protokol vpetega drevesa za VLAN. Ohranja strukturo vpetega
drevesa za vsak VLAN, ki je nastavljen v omreţju. Uporablja ISL snopljenje in omogoča
VLAN snopljenje, ki posreduje za določene VLAN-e, medtem ko so drugi VLAN-i
blokirani. PVST, ki obravnava vsak VLAN kot ločeno omreţje, ima sposobnost
uravnoteţenega nalaganje prometa na OSI plasti L2, ne da bi povzročil zanko vpetega
drevesa.
PVST+ (ang. Per VLAN Spanning Tree +)
PVST+ zagotavlja enake funkcionalnosti kot PVST, razen da uporablja tehnologijo
snopljenja 802.1Q. Podprt je samo na Cisco stikalih.
R-PVST (ang. Rapid PVST)
Je lastniški Cisco protokol, ki zdruţuje funkcionalnosti RSTP in PVST. Temelji na osnovi
posameznega VLAN-a in tvori STP drevo za vsak VLAN.
R-PVST+ (ang. Rapid PVST+)
R-PVST+ protokol je IEEE 802.1w standard (RSTP), ki se izvaja v vsakem VLAN-u. En
primerek STP teče na vsakem konfiguriranem VLAN-u (če ročno ne onemogočimo STP).
Omreţna stikala in komutacija LAN/WAN 44
R-PVST+ je privzeto omogočen na privzetem VLAN-u (VLAN 1) in za vse novo
ustvarjene VLAN-e. STP lahko omogočimo ali onemogočimo na vsakem VLAN-u
posebej, če teče R-PVST+. Ponovna konfiguracija vpetega drevesa se izvede v manj kot
sekundi pri R-PVST+ (za razliko od 50 sekund s privzetimi nastavitvami v 802.1D STP).
MSTP (ang. Multiple Spanning Tree Protocol)
MSTP, ki je bil prvotno opredeljen v IEEE 802.1s in pozneje zdruţen v IEEE 802.1Q-
2003, opredeljuje protokol vpetega drevesa, ki ima več primerkov vpetega drevesa za
delovanje mreţe.
MSTP uporablja RSTP za hitro konvergenco in omogoča VLAN-om, da se razvrstijo v
vpeto drevo z vsakim primerkom, ki ima topologijo vpetega drevesa neodvisno od drugih
primerkov vpetega drevesa. Ta arhitektura ponuja več posredovanih poti za podatkovni
promet, omogoča uravnavanje obremenitev in zmanjšuje število primerkov vpetega
drevesa, potrebnih za podporo velikega števila VLAN-ov.
5.5 Derivati STP – PVST+
V našem primeru smo uporabili pet Cisco stikal. Dve stikali sta distribucijski Cisco
Catalyst 3550 (eno 12-, drugo 48-vratno), ostala tri stikala pa so dostopnega tipa Cisco
Catalyst 2950 /24-vratna).
Omreţna stikala in komutacija LAN/WAN 45
Slika 5.16: Povezava stikal
Na začetku pregledamo začetno privzeto stanje konfiguracije za vpeto drevo STP na
stikalu Cisco 3550/48. Z ukazom show spanning-tree izpišemo stanje STP.
Slika 5.17: Prikaz privzetih nastavitev STP na stikalu Cisco 3550/12
Omreţna stikala in komutacija LAN/WAN 46
Kot korensko stikalo nastavimo stikalo z ukazom spanning-tree vlan 1 root primary. S
parametrom primary nastavimo identifikacijsko številko stikala na 24576; zaradi
upoštevanja VLAN 1 (razširjen identifikacijski sistem) se ta številka poveča še za 1
(24577).
Slika 5.18: Prikaz nastavitve primarnega mostu na stikalu Cisco 3550/12
Ker je to stikalo postalo korensko stikalo, imajo vsa vrata vlogo povezovalnih vrat (ang.
Desg), stanja teh vrat pa so v posredovanem načinu (ang. FWD).
Če ţelimo stikalo nastaviti tako, da postane korenski mostič za določen VLAN, uporabimo
ukaz spanning tree vlan vlan-ID root primary. Zaradi razširjenega sistema podpore
identifikacijske številke se stikalo nastavi s prioriteto 24576. Za določene VLAN-e postane
to stikalo korensko stikalo. Če ima drugo stikalo za določen VLAN manjšo prioriteto kot
24576, stikalo, ki je korensko, določi prioriteto za določen VLAN za vrednost 4096 manj,
kot je najniţja prioriteta stikala.
Omreţna stikala in komutacija LAN/WAN 47
Sekundarno korensko stikalo je stikalo, ki lahko postane korensko za VLAN, če primaren
korenski mostič odpove. Če ţelimo nastaviti stikalo kot sekundarni korenski mostič za
VLAN, uporabimo ukaz spanning tree vlan vlan-ID root secondary.
Ko smo nastavili te nastavitve, smo omogočili nadzor prometa s programskim vohljačem
prometa, imenovanim Wireshark. Na ustrezna vrata smo priklopili računalnik in posneli
promet.
Wireshark je brezplačen, odprtokodni paketni analizator, ki se uporablja za odpravljanje
teţav omreţja, analize in programske opreme, za razvoj komunikacijskih protokolov in
tudi za izobraţevanje.
Na Sliki 5.18 vidimo prikaz nastavitev STP za distribucijski tip stikala Cisco 3550/12.
Časovnik veljavnosti BPDU je nastavljen na 20 sekund, časovnik periodičnosti BPDU na 2
sekundi in časovnik nastavitev na 15 sekund, kar so privzete vrednosti.
Slika 5.19: Prikaz nastavitev STP za stikalo Cisco 3550/12 iz zajetega pretoka s
programom Wireshark
Omreţna stikala in komutacija LAN/WAN 48
Na Sliki 5.19 je razvidno, da je prioriteta korenskega stikala nastavljena na 24576 in zaradi
VLAN 1 povečana za 1, MAC-naslov stikala pa 00:0D:65:C7:4A:00. Cena poti do
korenskega mostiča je 0, ker je stikalo korenski mostič. Časovnik veljavnosti BPDU je
nastavljen na 20 sekund, časovnik periodičnosti BPDU na 2 sekundi in časovnik nastavitev
na 15 sekund, kar so privzete vrednosti.
Na Sliki 5.20 je prikazano začetno stanje na stikalu Cisco 3550/48 s privzeto konfiguracijo
za STP.
Slika 5.20: Prikaz privzetih nastavitev STP na stikalu 3550/48
Po privzetih nastavitvah stikalo nastavimo kot sekundarno z ukazom spanning-tree vlan 1
root secondary, nastavimo pa tudi identifikacijsko številko mostiča na 28673, kar je za
vrednost 4096 več kot 24577. Nato z ukazom show spanning-tree izpišemo stanje STP.
Omreţna stikala in komutacija LAN/WAN 49
Slika 5.21: Prikaz nastavitev sekundarnega mostiča na stikalu 3550/48
Slika 5.22: Prikaz nastavitev za stikalo 3550/48 iz zajetega pretoka s programom
Wireshark
Omreţna stikala in komutacija LAN/WAN 50
Na Sliki 5.22 je razvidno, da je prioriteta primarnega korenskega stikala zaradi VLAN 1
nastavljena na 24576 + 1, MAC-naslov stikala pa 00:0D:65:C7:4A:00. Cena poti do
korenskega mostiča je 0, ker je to stikalo korenski mostič. Časovnik veljavnosti BPDU je
nastavljen na 20 sekund, časovnik periodičnosti BPDU na 2 sekundi in časovnik nastavitev
na 15 sekund, kar pomeni privzete vrednosti. Prioriteta sekundarnega stikala je nastavljena
na 28672 in je zaradi razširjene sheme identifikacije (zaradi VLAN 1) povečana za 1, tj. na
28673. MAC-naslov stikala je 00:11:5C:C5:A4:00. Cena poti do korenskega mostiča je 19
(100 Mb/s).
Poglejmo še nastavitve na dostopnih stikalih Cisco Catalyst 2950/24, ki pa smo jim pustili
privzete nastavitve za STP. Na stikalih smo s programom Wireshark posneli še promet.
Slika 5.23: Prikaz privzetih nastavitev na stikalu Cisco 2950 I
Omreţna stikala in komutacija LAN/WAN 51
Slika 5.24: Prikaz nastavitev za stikalo 2950 I iz zajetega pretoka s programom Wireshark
Na Sliki 5.24 je prikazano, da je zaradi VLAN 1 prioriteta korenskega stikala nastavljena
na 24576 + 1, MAC-naslov stikala pa 00:0D:65:C7:4A:00. Cena poti do korenskega
mostiča je 19. Prioriteta stikala je nastavljena na privzeto vrednost 32768 + 1 zaradi VLAN
1, MAC-naslov stikala pa je 00:1A:E2:48:63:C0.
Omreţna stikala in komutacija LAN/WAN 52
Slika 5.25: Prikaz privzetih nastavitev na stikalu Cisco 2950 II
Slika 5.26: Prikaz nastavitev za stikalo 2950 II iz zajetega pretoka s programom Wireshark
Omreţna stikala in komutacija LAN/WAN 53
Na Sliki 5.26 je razvidno, da je zaradi VLAN 1 prioriteta korenskega stikala nastavljena na
24576 + 1, MAC-naslov stikala pa 00:0D:65:C7:4A:00. Cena poti do korenskega mostiča
je 19. Prioriteta stikala je nastavljena na privzeto vrednost 32768 + 1 zaradi VLAN 1,
MAC-naslov stikala pa je 00:15:2B:47:30:C0.
Slika 5.27: Prikaz privzetih nastavitev na stikalu Cisco 2950 III
Omreţna stikala in komutacija LAN/WAN 54
Slika 5.28: Prikaz nastavitev za stikalo 2950 III iz zajetega pretoka s programom
Wireshark
Iz Slike 5.28 je razvidno, da je prioriteta korenskega stikala nastavljena na 24576 + 1
zaradi VLAN 1, MAC-naslov stikala pa je 00:0D:65:C7:4A:00. Cena poti do korenskega
mostiča je 19. Prioriteta stikala je nastavljena na privzeto vrednost 32768 + 1 zaradi VLAN
1, MAC-naslov stikala je 00:1A:E2:9D:EB:C0.
Nastavitev PVST+
PVST+ določa protokol vpetega drevesa, ki ima več primerkov vpetih dreves za delovanje
omreţja na en primerek STP na VLAN.
V našem primeru imamo 4 VLAN-e, pri čemer smo ustvarili dodatne tri VLAN-e: VLAN
10, VLAN 20 in VLAN 99 za upravljanje. To smo storili tako, da smo v ukazno vrstico
vnesli vlan 99 in mu dodelili ime z ukazom name Upravljanje. Podobno smo naredili še
za VLAN 10 in VLAN 20, medtem ko je VLAN 1 privzeto ustvarjen. Na Sliki 5.29 je
prikaz ustvarjanja VLAN-ov in izpis le-teh.
Omreţna stikala in komutacija LAN/WAN 55
Slika 5.29: Prikaz ustvarjanja VLAN-ov
Na stikalu Cisco 3550/12 nastavimo primarna mostiča za VLAN z ukazom spanning-tree
vlan 1, 10 root primary.
Omreţna stikala in komutacija LAN/WAN 56
Slika 5.30: Prikaz primarnih mostičev na stikalu Cisco 3550/12
Nato na stikalu Cisco 3550/12 dodatno nastavimo še VLAN kot sekundarne mostiče z
ukazom spanning-tree vlan 20, 99 root secondary.
Omreţna stikala in komutacija LAN/WAN 57
Slika 5.31: Prikaz sekundarnih mostičev na stikalu Cisco 3550/12
Na stikalu 3550/48 nastavimo VLAN kot primarna mostiča z ukazom spanning-tree vlan
20, 99 root primary.
Omreţna stikala in komutacija LAN/WAN 58
Slika 5.32: Prikaz primarnih mostičev na stikalu Cisco 3550/48
Na stikalu Cisco 3550/48 nastavimo VLAN 1 in VLAN 10 kot sekundarna mostiča z
ukazom spanning-tree vlan 1, 10 root secondary. Sekundarna mostiča potrebujemo v
primeru odpovedi glavnega mostiča (da prevzameta njegovo vlogo).
Omreţna stikala in komutacija LAN/WAN 59
Slika 5.33: Prikaz sekundarnih mostov na stikalu Cisco 3550/48
Dostopnim stikalom pustimo privzete nastavitve, vendar jim nastavimo hitrejšo
konvergenco z ukazom Backbonefast in Uplinkfast.
Z ukazom spanning-tree backbonefast konfiguriramo stikalo za hitrejšo konvergenco
STP v primeru posredno neuspelih povezav v omreţju.
Z ukazom spanning-tree uplinkfast konfiguriramo stikala dostopne plasti za hitrejšo
konvergenco STP v primeru neposredno neuspele povezave do nadleţečih stikal.
Omreţna stikala in komutacija LAN/WAN 60
Na Sliki 5.34, 5.35 in 5.36 so prikazi povzetka STP nastavitev stikal Cisco 2950 z ukazom
show spanning-tree summary.
Slika 5.34: Prikaz povzetka PVST+ na stikalu Cisco 2950 I
Omreţna stikala in komutacija LAN/WAN 61
Slika 5.35: Prikaz povzetka PVST+ na stikalu Cisco 2950 II
Slika 5.36: Prikaz povzetka PVST+ na stikalu Cisco 2950 III
Omreţna stikala in komutacija LAN/WAN 62
5.6 Derivati RSTP – RPVST+
R-PVST+ definira protokol vpetega drevesa, ki predstavlja je en primerek RSTP-ja na vsak
VLAN.
V našem primeru smo vzeli enako infrastrukturo kot pri prejšnjem primeru, le da smo sedaj
nastavili R-PVST+.
Za vsa tri dostopna stikala velja enako: STP iz PVST+ spremenimo v R-PVST+ tako, da
deaktiviramo Backbonefast in Uplinkfast z ukazom no spanning-tree backbonefast in
ukazom no spanning-tree uplinkfast, ker sta ţe privzeto vsebovana v R-PVST+.
Slika 5.37: Prikaz nastavitve R-PVST+ in onemogočitev Backbonefast in Uplinkfast
Na vseh stikalih smo nastavili R-PVST+ z ukazom spanning-tree mode rapid-pvst. Nato
nastavimo R-PVST+ z ukazom show spanning-tree summary.
Omreţna stikala in komutacija LAN/WAN 63
Slika 5.38: Prikaz povzetka R-PVST+ na stikalu Cisco 3550/12
Slika 5.39: Prikaz povzetka R-PVST+ na stikalu Cisco 3550/48
Omreţna stikala in komutacija LAN/WAN 64
Slika 5.40: Prikaz povzetka R-PVST+ na stikalu Cisco 2950 I
Na Sliki 5.40 in 5.41 so vsa stanja vrat v posredovanju (ang. Forwarding).
Slika 5.41: Prikaz povzetka R-PVST+ na stikalu Cisco 2950 II
Omreţna stikala in komutacija LAN/WAN 65
Slika 5.42: Prikaz povzetka R-PVST+ na stikalu Cisco 2950 III
Na tem stikalu so v VLAN 1 štiri stanja aktivna: eno je v stanju blokiranja, ostala tri pa v
stanju posredovanja. V VLAN 10 so tri stanja aktivna: eno je v stanju blokiranja, ostali dve
pa v stanju posredovanja. V VLAN 20 so tri stanja aktivna: eno je v stanju blokiranja,
ostali dve pa v stanju posredovanja. V VLAN 30 so tri stanja aktivna: eno je v stanju
blokiranja, ostali dve pa v stanju posredovanja.
Omreţna stikala in komutacija LAN/WAN 66
6 VIRTUALNA LOKALNA OMREŽJA – VLAN
6.1 Koncepti VLAN
Virtualni LAN, splošno znan kot VLAN, je skupina gostiteljev s skupnega nabora zahtev,
ki komunicirajo na isti domeni oddaje ne glede na njihovo fizično lokacijo. VLAN ima
enake atribute kot fizičen LAN, vendar pa dovoli končnim postajam, da se zdruţijo, četudi
se ne nahajajo na istem omreţnem stikalu. Omreţje lahko preoblikujemo s pomočjo
programske opreme, kar pomeni, da se izognemo fizičnemu premeščanju naprav.
VLAN-i rešujejo vprašanja obvladljivosti, varnosti in upravljanje omreţij. Usmerjevalniki
v topologiji VLAN zagotavljajo filtriranje oddaje, varnost, povzetek naslova in upravljanje
pretoka prometa. Po definiciji stikala ne sme biti med IP prometom in VLAN-i mostiča, saj
bi kršili celovitost oddajanja domene VLAN-ov.
To je koristno tudi v primeru, ko ţelimo ustvariti več navideznih omreţij v OSI plasti L3 v
isti OSI plasti L2. Primer: Streţnik DHCP (ang. Dynamic Host Configuration Protocol), ki
je priključen na stikalo, sluţi odjemalcu na istem stikalu, ki je nastavljen tako, da dobi svoj
IP naslov od tega DHCP streţnika. Z uporabo VLAN-ov lahko preprosto razdelimo mreţo,
čeprav nekateri uporabniki ne bodo uporabili tega DHCP streţnika (pridobili bodo druge
lokalne naslove ali naslove od različnih drugih DHCP streţnikov).
6.2 Uvod v konfiguracijo VLAN
Konfiguracija VLAN-ov je dejansko precej enostavna. Ko smo se odločili za število
VLAN-ov, ki jih ţelimo ustvariti, določimo tudi, kateri uporabniki naj pripadajo kateremu
od njih.
Če ţelimo konfigurirati VLAN-e na Cisco stikalih, uporabimo globalni ukaz vlan. Na Sliki
6.1 je prikazano, kako se konfigurirajo VLAN-i na določenem stikalu. VLAN 1 je privzeti
VLAN na vsakem stikalu.
Omreţna stikala in komutacija LAN/WAN 67
Ko ustvarimo VLAN-e, ki jih ţelimo, lahko z ukazom skow vlan brief verificiramo tiste,
ki smo jih ustvarili. Privzeta so vsa vrata stikala v VLAN 1.
Slika 6.1: Ustvarjanje in prikaz VLAN-ov
Dodelitev vrat stikal v VLAN-e
Konfiguracija vrat spada v dodeljevanje članstva VLAN, ki določa, katera vrata nosijo
katero vrsto prometa oziroma katera vrata pripadajo katerim VLAN-om. Vrata lahko
konfiguriramo posebej za določen VLAN tako, da z uporabo ukaza interface
FastEthernet (npr. 0/1, 0/2,) preidemo v ustrezna vrata. Lahko pa tudi konfiguriramo več
zaporednih vrat hkrati z ukazom interface range FastEthernet ali interface range
GigabitEthernet.
Omreţna stikala in komutacija LAN/WAN 68
Konfiguracija vrat
Vrata lahko konfiguriramo na različne načine:
switchport mode access – s tem ukazom nastavimo vrata kot dostopna;
switchport mode dynamic auto – s tem ukazom omogočimo vratom, da
spremenijo povezavo dostopnega načina v povezavo načina snopljenja. Ta ukaz je
privzeti način na novejših Cisco stikalih;
switchport mode trunk – s tem ukazom nastavimo vrata v način snopljenja;
switchport nonegotiate – s tem ukazom nastavimo vratom način snopljenja,
vendar onemogočimo generiranja DTP (ang. Dynamic Trunking Protocol) okvirja.
Ta ukaz lahko uporabimo samo takrat, ko je vmesnik switchport mode access ali
trunk.
6.3 Ugotavljanje in odpravljanje napak v VLAN
Zdaj, ko znamo vzpostaviti VLAN omreţje, bomo končno prišli do problema, ki je
povezan z VLAN konfiguracijo. Da določimo vzroke problemov, moramo preveriti
naslednje:
stanje vmesnika, da ugotovimo, ali je problem v fizični plasti;
konfiguracije stikal in usmerjevalnikov, da se prepričamo, ali ni bilo nič dodano
oziroma spremenjeno;
delovanje povezovalnih vodov;
pravilnost konfiguriranja naših VLAN-ov in delovanja STP.
Če nastopijo problemi pri komutaciji, je dobro, da pregledamo najprej osnovne nastavitve.
Predstavitev možnih problemov
Če je delovanje počasno ali če imamo občasne probleme s povezavo, moramo najprej
preveriti statistiko na vmesnikih stikala z ukazom show interface. Najpogostejši problemi
Omreţna stikala in komutacija LAN/WAN 69
so neustrezne dvosmerne ali hitre povezave. Pogledamo nastavitve na obeh straneh
povezave. Prav tako se moramo prepričati, ali smo uporabili pravilne tipe povezovalnih
kablov: neposreden za povezave DTE (ang. Data Terminal Equipment) – DCE (ang. Data
Communication Equipment) povezavo in kriţne povezave za DTE – DTE ali DCE – DCE
povezave. Nato moramo poskrbeti, da kabel ne presega najdaljše zakonsko določene meje.
Prav tako se moramo prepričati, da povezava nima problemov s strojno opremo, kar je
lahko pogost problem za serijske povezave.
Problemi lokalne povezave
Teţave s terminalskim dostopom med dostopanjem do konzolnih vrat stikala lahko
nakazujejo na nepravilno nastavitev terminala. Ponavadi imamo nepravilno nastavljeno
podatkovno hitrost. Če imamo teţave z dostopom do naprav v komutiranem omreţju,
preverimo, ali smo uporabili pravilni IP naslovni prostor v VLAN-u. Če imamo povezani
dve Cisco napravi, lahko z ukazom show cdp uporabimo CDP protokol (ang. Cisco
Discovery Protocol), da pridobimo informacije. Če ţelimo dobiti VLAN informacije na
stikalu, uporabimo ukaz show vlan za pregled VLAN konfiguracije. Če na vratih sveti
oranţna LED, preverimo, ali so vrata v VLAN-u izbrisana ali niso bila dodeljena.
Utripanje oranţne LED pa pomeni, da je STP postavil vrata v stanje blokiranja. Uporabimo
ukaz show interface switchport, da ugotovimo, ali so vrata v VLAN-u sploh aktivna.
Omreţna stikala in komutacija LAN/WAN 70
7 PROTOKOL VIRTUALNEGA SNOPLJENJA – VTP
7.1 Snopljenje
V sodobnih komunikacijah je snopljenje koncept, s katerim je mogoče komunikacijskemu
sistemu zagotoviti dostop do omreţja z delitvijo povezav, namesto da bi jih zagotovil
posamezno. To je podobno strukturi drevesa z enim snopljenim vodom in mnogimi
podruţnicami.
Omogočitev snopljenja
Snopljena povezava potrebuje izmenjavo VLAN informacij med stikali. Vrata na Cisco
stikalih so ali dostopna ali snopljena. Dostopna vrata pripadajo posameznemu VLAN-u,
kar označujejo z identifikacijskimi oznakami na okvirjih, ki prehajajo med stikali.
Snopljena vrata so privzeto članice vseh VLAN-ov, ki obstajajo na stikalu in nosijo promet
za vse VLAN-e. Snopljena vrata morajo ločiti okvirje z oznakami, ki prehajajo med stikali.
Snopljenje je funkcija, ki mora biti omogočena na obeh straneh povezave. Če smo stikali
povezali skupaj, moramo vrata ene in druge strani ustrezno konfigurirati za snopljenje.
Oboja vrata morajo uporabljati enak označevalni mehanizem (ISL ali IEEE 802.1Q).
Cisco podpira dve metodi eternet snopljenja:
ISL (ang. Inter-Switch Link) je Ciscov lastniški protokol za eternet,
IEEE 802.1Q, na splošno imenovan dot1q za eternet.
ISL
Je zastarel način označevanja VLAN okvirjev v eternet omreţju. Označevanje informacij
omogoča VLAN-om multipleksiranje skozi povezavo snopljenega voda z zunanjo metodo
enkapsulacije, ki omogoča stikalom identifikacijo VLAN okvirjev.
Omreţna stikala in komutacija LAN/WAN 71
Z ISL lahko poveţemo več stikal in ohranimo VLAN informacije med potovanjem
prometa med stikali. Cisco stikala uporabljajo samo hitri eternet in Gigabit Ethernet
povezavo. Usmerjanje ISL je vsestransko in ga lahko uporabljamo na vratih stikal,
vmesnikih usmerjevalnika in vmesniških karticah streţnika za povezavo streţnika, če ISL
podpirajo.
IEEE 802.1Q
Je standardna metoda IEEE za označevanje okvirjev. Z IEEE 802.1Q vstavimo polje v
okvir za identifikacijo VLAN-a. Če vklopimo snopljenje med Cisco stikali in stikali
različnih znamk, za delovanje uporabimo snopljenje IEEE 802.1Q.
Najprej določimo vrata, ki bodo povezana s 802.1Q enkapsulacijo. Vratom mora biti
dodeljena identifikacijska številka VLAN. Izvorni VLAN, privzeto VLAN 1, omogoča
snopljenim povezavam prenos informacij, ki niso dodatno označevane. Promet v izvornem
VLAN-u se torej ne označuje.
7.2 VTP
VTP (ang. VLAN Trunking Protocol) je lastniški Cisco OSI plasti L2 sporočilni protokol,
s katerim lahko dodajamo, brišemo in preimenujemo VLAN na omreţni ravni. Cisco VTP
zmanjšuje upravljanje v komutacijskih omreţjih. Ko nastavimo novi VLAN na VTP
streţniku, se nova informacija samodejno posreduje na vsa stikala, s čimer se izognemo
konfiguriranja istega VLAN-a na vseh stikalih. VTP je na voljo na Cisco Catalyst stikalih.
VTP načini
VTP deluje v enem od treh načinov.
Strežnik. V načinu VTP lahko ustvarjamo, brišemo in spreminjamo VLAN-e.
Nastavimo lahko tudi druge moţnosti (npr. različica VTP, vklopimo/izklopimo
funkcijo obrezovanja VTP za celotno domeno VTP). Z VTP streţniki oglašujemo
Omreţna stikala in komutacija LAN/WAN 72
konfiguracijo VLAN drugih stikal v isti VTP domeni in sinhronizacijo konfiguracij
VLAN-ov z drugimi stikali na osnovi prejetih sporočil preko snopljenih vodov.
Stikalu je privzeto nastavljeno kot VTP streţnik. Podatki VLAN so shranjeni v
NVRAM in se ne izgubijo po ponovnem zagonu stikala.
Odjemalec. VTP odjemalec se obnaša enako kot VTP streţnik, vendar ne more
ustvarjati, spreminjati ali brisati VLAN-ov na lokalni napravi. V načinu VTP
odjemalec se konfiguracija ne shrani v NVRAM.
Transparentnost. V transparentnem načinu stikala aktivno ne sodelujejo v VTP,
ne oglašujejo konfiguracije VLAN-ov in ne sinhronizirajo VLAN-ov po prejetju
VTP BPDU sporočil. Ko je stikalo v transparentnem načinu, lahko izolirano
ustvarjamo, spreminjamo ali brišemo VLAN-e.
VTP pošilja sporočila po snopljenih povezavah stikal za ohranjanje in osveţevanje VLAN-
ov na stikalih. VTP sporočila se izmenjujejo med stikali v skupni domeni VTP. Če je ime
domene različno, stikalo preprosto ignorira paket; če pa je ime domene ustrezno, potem
preveri številko revizije prejetega VTP paketa. Če je revizija številke prejete VTP
posodobitve višja od obstoječe, potem uporabi stikalo nove nastavitve.
Izjemna previdnost je potrebna pri ravnanju s topologijami sprememb VTP tako logično
kot fizično. Izmenjavo informacij VTP lahko nadzorujemo z gesli, vendar moramo za vsa
stikala izbrati enaka gesla.
VTP verzije
Obstajajo tri verzije VTP. VTP V2 se bistveno ne razlikuje od VTP V1. Glavna razlika je v
tem, da VTP V2 podpira danes ţe zastarelo tehnologijo obroča z ţetonom. Če uporabimo
tehnologijo obroča z ţetonom, moramo omogočiti VTP V2. V nasprotnem primeru ni
potrebno uporabiti VTP V2. VTP V3 pa ne obravnava VLAN-ov direktno, saj je protokol,
ki je odgovoren le za distribucijo baze podatkov skozi administrativno domeno. Ko
omogočimo VTP V3, zagotovimo naslednje izboljšave prejšnjih verzij VTP:
Omreţna stikala in komutacija LAN/WAN 73
podpora za razširjene VLAN-e,
podpora za oblikovanje in oglaševanje zasebnih VLAN-ov,
izboljšano preverjanje streţnika,
zaščita pred »napačno« bazo podatkov, ki je slučajno vstavljena v VTP domeno,
interakcija med VTP V1 in VTP V2,
zagotavljanje moţnosti, da propagira VLAN podatkovne baze drugih podatkovnih
baz.
Tabela 7.1: Nastavitveni ukazi VTP
Korak Naloga Ukaz
1 določa VTP način
(streţnik/odjemalec/transparenten)
vtp mode mode
2 določa VTP domeno ime vtp domain ime
3 nastavitev, katera VTP verzija naj poteka vtp version (1,2,3)
4 nastavitev gesla za VTP domeno vtp password geslo
5 izpis konfiguracije VTP Show vtp status
VTP obrezovanje
Z VTP lahko obreţemo nepotrebne VLAN-e iz snopljenih vodov. Z VTP ohranjamo
preslikavo VLAN-ov in stikal in omogočimo promet, ki se nanaša direktno na znana
stikala, ki imajo vrata v predvidenem VLAN-u. To nam zagotavlja bolj učinkovito uporabo
pasovne širine snopljenega voda.
Vsako stikalo bo oglaševalo VLAN-e, ki so aktivni k sosednjim stikalom. Sosednja stikala
bodo nato obrezala npr. razpršeni promet za VLAN-e, ki niso aktivni, kar pomeni
prihranek pasovne širine. VLAN-i morajo omogočiti obrezovanje na obeh koncih
snopljenega voda. To nastavimo tako, da omogočimo VLAN obrezovanje za celotno VTP
domeno na enem od VTP streţnikov za to domeno. Če ţelimo omogočiti VLAN
obrezovanje za VTP domeno, vnesemo naslednji ukaz na streţniku za to domeno: vtp
pruning.
Omreţna stikala in komutacija LAN/WAN 74
VTP obrezovanje lahko omogočimo na Cisco Catalyst stikalih, ki so nastavljena na VTP
streţnik.
7.3 Uvod v usmerjanje med VLAN
VLAN-e lahko uporabimo za ustanovitev domen razpršene oddaje znotraj omreţja.
Podobno nalogo opravljajo usmerjevalniki, ki pa ne morejo posredovati prometa naprej iz
enega VLAN-a v drug VLAN. Usmerjanje je še vedno zahtevano za potek prometa med
VLAN-i. Zmanjšanje prometa zmanjšuje moţnosti ozkega grla v omreţju. Ne glede na to
pa lahko v primeru stebelnega usmernika, ki usmerja med VLAN-i, ustvarimo ozko grlo v
omreţju. Omenjeno teţavo lahko rešujemo z uporabo t. i. večplastnih stikal.
VLAN-i so nastali, da bi zagotovili domensko segmentacijo, ki jo v LAN konfiguracijah
tradicionalno zagotavljajo usmerjevalniki. VLAN naslovi so razširljivi in varni, hkrati pa
upravljajo omreţje. Usmerjevalniki v topologiji VLAN zagotavljajo filtriranje razpršene
oddaje, varnost, zdruţevanje naslovnega prostora in upravljanje prometnega toka. Pri
načrtovanju in gradnji komutiranega medomreţja LAN je potrebno upoštevati naslednje
kriterije:
LAN segmentacija. Z VLAN-i omogočamo logične omreţne topologije za členitev
fizične komutirane infrastrukture, tako da lahko poljubne skupine LAN vrat
kombiniramo v avtonomne uporabniške ali interesne skupnosti. To je tehnologija
logičnega segmentiranja omreţja v ločene domene razpršene oddaje, pri čemer so
paketi komutirani med določenimi vrati znotraj istih VLAN-ov. Obsegajo promet,
ki izvira od posameznih LAN-ov samo do LAN-ov v istem omreţju VLAN.
Komutirana virtualna omreţja se izognejo zmanjševanju pasovne širine.
Implementacija VLAN-ov izboljšuje razširljivost, še posebej v okolju LAN, ki
podpira razpršeno oddajo ali oddajanje več prejemnikov z zahtevnejšimi protokoli
in aplikacijami, ki preplavljajo pakete po celotnem omreţju.
Varnost. VLAN-i izboljšajo varnost z izolacijo skupin. Visoko varnost
uporabnikov je mogoče strniti v VLAN na istem fizičnem segmentu, zaradi česar
uporabniki zunaj VLAN-a ne morejo komunicirati z njim.
Omreţna stikala in komutacija LAN/WAN 75
Nadzor razpršene oddaje. Tako kot stikala izolirajo domene trkov in posredujejo
samo ustrezen promet iz posameznih vrat, zagotavljajo VLAN-i kompletno
izolacijo razpršenega prometa med VLAN-i. VLAN je razpršena domena in vsa
razpršena oddaja in večponorni promet izolirata v eno domeno oziroma en VLAN.
Zmogljivost. Logične skupine uporabnikov omogočijo skupinsko obračunavanje.
Tako se lahko uporabljajo omreţni obračunski sistemi, ki dodelijo VLAN-e in
vsebujejo le obračunske skupine in streţnike. S konfiguracijo VLAN-ov
izboljšujemo splošno učinkovitost delovanja omreţja, pri tem pa ne upočasnimo
ostalih uporabnikov, ki si delijo omreţje.
Upravljanje omrežja. Logično zdruţevanje uporabnikov nam omogoča laţje
upravljanje omreţja. Ni potrebno vleči kablov, da se premaknejo uporabniki iz
enega omreţja v drugega. Dodajanje, premikanje in spreminjanje, doseţemo s
konfiguracijo vrat v ustrezen VLAN.
Komunikacija med VLAN-i. Omogočimo jo z usmerjanjem. Stopnjo varnosti
povečamo z uporabo funkcije filtriranja. Programska oprema Cisco IOS zagotavlja
omreţne storitve, kot so varnost, filtriranje, QoS (ang. Quality of Service) in
obračunavanje na osnovi VLAN. Ko razvijemo komutirano omreţje, z
razčlenjevanjem v VLAN-e Cisco IOS določa ključne VLAN komunikacije.
7.4 Komutacija OSI plasti L3
Komutacija OSI plast L3 je ena najpomembnejših komponent za uspešno kampusno
omreţje, saj zagotavlja pasovno širino, ki je potrebna za izgradnjo sodobnega kampusnega
hrbteničnega omreţja. Omogoča tudi razširljivost za rast omreţja in laţje vzdrţevanje.
Večina stikal deluje na OSI plasti L2, nekatera stikala pa vsebujejo značilnosti
usmerjevalnika in delujejo na OSI plasti L3. Tako stikalo je podobno usmerjevalniku, ki
pri prejetih paketih pregleda izvorni in ciljni naslov za določitev poti paketa. Stikalo plasti
L2 se sklicuje na MAC-naslov za določitev izvornega in ciljnega paketa na podatkovno-
povezovalni plasti OSI.
Omreţna stikala in komutacija LAN/WAN 76
Na Sliki 7.1 je primer komutacije plasti L3 s stikalom Cisco Catalyst 3550 in z
usmerjevalnikom Cisco 1721.
Slika 7.1: Shema komutacije plasti L3 stikala in usmerjevalnika
Na računalnikih nastavimo IP naslove, maske podomreţja in privzete prehode.
Slika 7.2: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC1
Omreţna stikala in komutacija LAN/WAN 77
Slika 7.3: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC10
Slika 7.4: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC20
Omreţna stikala in komutacija LAN/WAN 78
Slika 7.5: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC30
Na stikalu Cisco 3550 ustvarimo štiri VLAN-e ter jim dodamo IP naslove in maske
podomreţij.
VLAN 1 ima IP naslov 192.168.1.1 in masko podomreţja 255.255.255.0. VLAN 10 ima IP
naslov 192.168.10.1 in masko podomreţja 255.255.255.0. VLAN 20 ima IP naslov
192.168.20.1 in masko podomreţja 255.255.255.0. VLAN 30 ima IP naslov 192.168.30.1
in masko podomreţja 255.255.255.0. Nastavimo privzeto IP smer z ukazom ip route
0.0.0.0 0.0.0.0 192.168.1.254.
Na Sliki 7.6 je prikaz IP naslovov, maske podomreţij in IP smer.
Omreţna stikala in komutacija LAN/WAN 79
Slika 7.6: Prikaz konfiguracij stikala Cisco 3550
Na usmerjevalniku Cisco 1721 nastavimo na vmesniku interface Ethernet 0 IP naslov
200.1.1.1 in masko podomreţja 255.255.255.0. Na vmesniku interface FastEthernet 0
nastavimo IP naslov 192.168.1.254 in masko podomreţja 255.255.255.0 ter IP smer z
ukazom ip route 0.0.0.0 0.0.0.0 192.168.1.1. Vse te nastavitve so prikazane na Sliki 7.7.
Omreţna stikala in komutacija LAN/WAN 80
Slika 7.7: Prikaz nastavitev usmerjevalnika Cisco 1721
Tako smo nastavili, kar potrebujemo za komutacijo med stikalom Cisco 3550 in
usmerjevalnikom Cisco 1721. Na Sliki 7.8 preverimo povezljivost z ukazom ping: iz PC30
na PC1 z ukazom ping 200.1.1.254 in iz PC30 na PC10 z ukazom ping 192.168.10.2. Ping
je internetna storitev, ki nam omogoča preverjanje dosegljivosti posameznih računalnikov
s protokolom ICMP. Z njim merimo tudi čas, ki ga paket porabi na poti od pošiljatelja do
naslovnika in nazaj.
Omreţna stikala in komutacija LAN/WAN 81
Slika 7.8: Preverjanje dosegljivosti posameznih računalnikov
Omreţna stikala in komutacija LAN/WAN 82
8 PROŽNOST OMREŽJA
Čas razpoloţljivosti omreţja je ključnega pomena za podjetja, katerih poslovanje temelji
na ITK storitvah in tehnologijah. Nenačrtovani izpadi omreţja lahko prispevajo k izgubi
prodaje, povečajo nadurno delo in vplivajo na produktivnost zaposlenih, ne nazadnje pa
vplivajo tudi na zvestobo strank.
Redundanca in proţnost nista enaka pojma. Redundantno omreţje ima pogosto dva
elementa vsakega omreţja: medtem ko je ena naprava v uporabi, je druga naprava v rezervi
ali odloţena. Proţna omreţja vključujejo omreţne naprave, ki zagotavljajo zanesljiv
nadomestni način delovanja mehanizma v napravi ali obratovanju in skupaj z drugimi
elementi omreţja, tako da je mogoče vse omreţne naprave uporabiti hkrati. Redundantno
omreţje ni vedno najbolj proţno. Elementi lahko povečajo kompleksnost omreţja.
Omreţje resnično zagotavlja maksimalno količino časa uporabnosti omreţja brez potrebe
celotnega rezervnega omreţja. Eksponentna rast prometa v omreţju vključuje
konvergentne aplikacije za potrebe po proţnosti omreţja.
Razpoloţljivost omreţja ali proţnost je tipična mera za standard na operativnih 100 %. Cilj
za številne rešitve omreţja je 99,999-odstotna razpoloţljivost ali t. i. 5x9. Razpoloţljivost
ali čas uporabnosti je čas, v katerem omreţje ali del omreţja nenehno obratuje. Koliko
izpada časa je sprejemljivo, je odvisno od aplikacij in potencialnega prihodka prometa
skozi omreţje. 5x9 razpoloţljivost omreţja se lahko zahteva po celotnem omreţju od
konca do konca ali preko skupnih omreţnih sredstev, kot so jedrna ali hrbtenična omreţja.
Vrste rezervnih naprav, razpoloţljiva stalna moč, redundantni sistemi N+1, fizično ločeni
sistemi in praktično upravljanje prispevajo k pridobivanju proţnega omreţja s 5x9.
Proţnost omreţja je seštevek številnih dejavnikov. Njegova gradnja vključuje:
zmanjšanje kompleksnosti omreţja,
odstranitev okvar posameznih točk,
določanje števila in vrste uporabljenih povezav.
Omreţna stikala in komutacija LAN/WAN 83
Kompleksnost omreţja lahko dramatično vpliva na omreţje. Sestavljanje fizične in logične
konfiguracije lahko povzroči zelo teţavne probleme z odpravljanjem napak. Načrti
omreţja, ki vključujejo popolno redundanco stikal in usmerjevalnikov, so dragi in po
nepotrebnem povečajo kompleksnost vzdrţevanje omreţja. Veliko število povezav in
strojne opreme mirujoče čaka, da se pojavijo okvare. Kompleksnost omreţja ter veliko
število naprav ali zapletenih konfiguracij in topologij lahko zmanjšajo čas razreševanja
teţav, povečajo pa tudi čas izvajanja omreţnih rešitev.
Odstranitev okvarjenih posameznih točk v omreţju pripomore k temu, da okvara ene
naprave ne povzroči zastoja celotnega omreţja podjetja. Načrtovanje omreţij brez ozkih
grl ali točk brez zamašitev pomeni, da ima promet omreţja več kot eno aktivno pot do
cilja. Usmerjani in preklapljani protokoli zagotavljajo prvo linijo obrambe pred izpadi.
8.1 Načrtovanje prožnega omrežja
Načrtovanje proţnega omreţja sestoji iz proţnosti strojne opreme, načrta omreţja in
omreţnih protokolov.
Prožnost strojne opreme je zmoţnost omreţne strojne opreme, da ostane aktivna tudi
med okvaro. Elementi strojne opreme, kot so usmerjevalniki in stikala, morajo imeti
fizične redundantne atribute, kot je N+1 napajalnik, pa tudi menjavo kartice in
ventilatorjev. Zmoţnost zamenjave teh osnovnih vrst elementov je odločilnega pomena za
vzdrţevanje najbolj osnovnih stopenj proţnosti omreţja.
Načrt omrežja poskrbi, da omreţje ostane proţno. Kompleksnost načrtovanja omreţja
prispeva pozitivno ali negativno proţnost. Preveč redundantnih povezav in omreţnih
elementov lahko pogojuje zahtevnost odpravljanja teţav in vzdrţevanja. Po drugi strani pa
lahko zaradi premalo povezav ali omreţnih elementov nastopijo singularne točke okvare
ali ozka grla za promet. Rešitev za večino podjetij je zanesljivost ranga 5x9 v jedrnem
omreţju. V idealnem primeru se uporabniki poveţejo do dostopnih točk s široko pasovnimi
in proţnimi povezavami do jedrnega omreţja. Ko uporabniški promet raste, mora imeti
Omreţna stikala in komutacija LAN/WAN 84
hrbtenično omreţje dobro proţnost, kar predstavlja ob zagotavljanju visoke stopnje
zanesljivosti v jedrnem omreţju bistveno prednost vseh uporabnikov.
Omrežni protokoli omogočajo logični pristop k zagotavljanju proţnosti omreţja.
Usmerjani in preklapljani protokoli omogočajo premik okvarjenih elementov strojne
opreme ali izklop omreţja. Proces ponovne konvergence po okvari ali izpadu lahko še
vedno vpliva na zmogljivosti aplikacije odvisno od uporabljenega protokola. Vsi
omreţni protokoli pa ne zagotavljajo enake proţnosti zahtev v smislu obnovitve časa ali
zmogljivosti.
Zagotavljanje proţnosti omreţja kot večplasten proces omogoča podjetjem podporo
trenutnim aplikacijam in zagotavlja trdne temelje za njihovo rast. Prizadevanje za proţnost
5x9 se začne z elementi omreţne strojne opreme in načrtovanjem ter s protokoli, ki
delujejo skupaj, da se zagotovi zanesljivost.
Omreţna stikala in komutacija LAN/WAN 85
9 STIKALA IN OMREŽNA VARNOST
9.1 Nastavitev varnosti vrat
Cisco priporoča, da se varnost vrat na stikalu nastavi, preden se stikalo razporedi v
omreţje. Če pride do kršitve varnosti vrat na stikalu, jih nastavimo tako, da se odzovejo na
enega od naslednjih opisanih načinov.
Zaščita. Ko nastavimo zaščito, vrata na stikalu zavračajo okvirje z neznanim virom
MAC-naslova potem, ko vrata stikala doseţejo nastavljeno največje število varnih
MAC-naslovov. Okvirji z znanim virom MAC-naslova se komutirajo. Vrata za
omenjeni scenarij kršitev ne pošljejo nobenega obvestila.
Omejitev. Konfiguracija omejitve deluje podobno kot konfiguracija zaščite.
Razlika je v tem, da se omejitve pošiljajo v obliki SNMP sporočil oziroma pasti.
Kršitve se beleţijo s števcem povečanja kršitev, ko pride do kršitve varnosti vrat.
Ustavitev. Moţnost ustavitve je najstroţji ukrep, ki vrata administrativno izklopi.
Do kršitve varnosti ne pride, saj se odjemalec odklopi in ni posredovanega prometa.
Do kršitev varnosti vrat ne pride samo, ko se vrata naučijo maksimalno število MAC-
naslovov, ampak tudi takrat, ko poskuša neznani MAC-naslov vstopiti v vrata.
Vrata podpirajo eno od naslednjih treh opisanih vrst varnosti naslovov MAC.
Statično varen MAC-naslov. Nastavimo lahko statičen MAC-naslov za
omogočitev dostopa do vrat stikala z uporabo ukaza »switchport port-security
mac-address address« v globalnem konfiguracijskem načinu za vmesnik (ang.
Interface Mode). Ti statično nastavljeni MAC-naslovi se dodajajo v konfiguracijo
stikala in CAM tabelo.
Lepljivo varen MAC-naslov. Vrata nastavimo na lepljivo (ang. sticky) varen
MAC-naslov z ukazom »switchport port-security mac-address sticky«. MAC-
Omreţna stikala in komutacija LAN/WAN 86
naslovi ne potrebujejo statičnih nastavitev. Vrata na stikalih se MAC-naslove
dinamično naučijo.
Dinamično varen MAC-naslov. Dinamično varni MAC-naslovi so shranjeni samo
v stikalu v CAM tabeli, ne pa v sami konfiguraciji stikala, tako da se pri ponovnem
zagonu stikala izgubijo.
Privzeto je varnost vrat onemogočena na vratih stikal. Ko z ukazom »switchport port-
security« omogočimo varnost vrat v vmesniškem načinu nastavitev, med varnimi MAC-
naslovi privzamemo samo enega, naučenega na vratih.
Na Sliki 9.1 je prikaz nastavitev varnosti vrat na stikalu Cisco Catalyst 3550.
Slika 9.1: Nastavitev varnosti vrat
V vmesniškem načinu izberemo vrata GigabitEthernet0/5. V globalnem konfiguracijskem
načinu vmesnika nastavimo dostopni način z ukazom »switchport mode access«. Varnost
vrat je omogočena z uporabo ukaza »switchport port-security«. Privzet je samo en MAC-
naslov, naučen na vratih. To število lahko povečamo na 5 z ukazom »switchport port-
security maximum 5«. Z ukazom »switchport port-security violation protect«
preprečimo nepooblaščenemu MAC-naslovu dostop skozi varna vrata stikala. Z ukazom
»switchport port-security mac-address 1234.1234.1234« dodamo statičen MAC-naslov
za omogočitev dostopa do vrat. Ukaz »switchport port-security mac-address sticky«
vpiše MAC-naslove v začetno konfiguracijo stikala, da se jih ni potrebno ponovno učiti.
Omreţna stikala in komutacija LAN/WAN 87
10 ZAKLJUČEK
V diplomskem delu smo se seznanili z omreţnimi stikali ter z različicami protokola
vpetega drevesa, ki jih lahko konfiguriramo na stikalih in vsem, kar spada zraven. Protokol
vpetega drevesa je pomemben v lokalnih omreţjih, saj zagotavlja redundantne poti, hkrati
pa preprečuje nezaţelene zanke v omreţju. Tako obstaja samo ena aktivna pot med dvema
postajama. Če pa obstajajo zanke v omreţju, obstaja tudi moţnost podvajanja sporočil, za
kar so krive večkratne aktivne poti med postaji.
Pri razvoju različic protokola vpetega drevesa je bilo inovativno podjetje Cisco, saj so kar
štirje njihovi lastniški protokoli. R-PVST+, privzet način STP na Cisco stikalih nam
omogoča, da ustvarimo topologijo vpetega drevesa za vsak VLAN.
Pričujoče diplomsko delo nam je omogočilo razširitev znanj o mreţnih tehnologijah in
konfiguraciji stikal. Spoznali smo protokol vpetega drevesa in njegove napredne različice,
ko je potrebna hitra konvergenca. Verjamemo, da bo prihodnost prinesla nove stopnje
razvoja v tej smeri in izpopolnjene rešitve.
Omreţna stikala in komutacija LAN/WAN 88
11 LITERATURA
[1] T. Lammle, CCNA Cisco Certified Network, Associate Study Guide, 2007.
[2] C. Kennedy, K. Hamilton, Cisco LAN Switching, Professional Development, CCIE
No. 2175, Cisco Press, 2001.
[3] M. Watkins, K. Wallace, CCNA Security Official Exam Certification Guide, CCIE
No. 7945, Cisco Press, 2008.
[4] R. Deal, CCNA Cisco Certified Network, Associate Study Guide, Cisco Press, 2008.
[5] D. Barnes, B. Sakander, Cisco LAN Switching Fundamentals, CCIE No. 6563, 6040,
Cisco Press, 2005.
[6] S. McQuerry, Interconnecting Cisco Network Devices, Part 2 (ICND2), CCIE, Third
Edition, No. 6108, Cisco Press, 2008.
[7] Slovar telekomunikacij in informacijskih tehnologij, elektronski vir, citirano 14. 4.
2010, dostopno na: http://slovar.ltfe.org/
[8] Ethernet, elektronski vir, citirano 14. 4. 2010, dostopno na:
http://en.wikipedia.org/wiki/Ethernet
[9] Hierarhični model medomreţja, elektronski vir, citirano 4. 5. 2010, dostopno na:
http://netcert.tripod.com/ccna/internetworking/hierarch.html
[10] Omreţna stikala, elektronski vir, citirano 5. 6. 2010, dostopno na:
http://en.wikipedia.org/wiki/Network_switch
[11] Spanning Tree Protocol, elektronski vir, citirano 21. 7. 2010, dostopno na:
http://en.wikipedia.org/wiki/Spanning_tree_protocol
Omreţna stikala in komutacija LAN/WAN 89
[12] Osnovno delovanje omreţnih stikal, elektronski vir, citirano 5. 6. 2010, dostopno na:
http://www.aktivno.si/ai/sl/626-omrezne-naprave-za-prenos-podatkov-v-racunalniskem-
omrezj
[13] Komutacija OSI plasti L3, elektronski vir, citirano 6. 6. 2010, dostopno na:
http://www.ciscopress.com/articles/article.asp?p=102093&seqNum=7
Omreţna stikala in komutacija LAN/WAN 90
12 PRILOGE
12.1 Seznam slik
Slika 2.1: Hierarhični model medomreţja ............................................................................. 5
Slika 3.1: Evolucija od omreţja s souporabo do polno dvosmernega komutiranega omreţja
............................................................................................................................................... 9
Slika 5.1: Redundantna topologija ...................................................................................... 20
Slika 5.2: Preplavljanje razpršeno oddanega okvirja........................................................... 22
Slika 5.3: Nevihta razpršeno oddanih okvirjev ................................................................... 22
Slika 5.4: Podvajanje okvirjev ............................................................................................. 24
Slika 5.5: Nestabilnost tabele preslikav MAC .................................................................... 25
Slika 5.6: Blokiranje vrat ..................................................................................................... 26
Slika 5.7: Primer omreţja, kjer oštevilčeni kvadrati predstavljajo mostiče/stikala (številka
predstavlja t. i. identifikacijsko številko mostiča), oblački pa omreţne segmente. ............. 28
Slika 5.8: Izbira glavnega mostu z najniţjo identifikacijsko številko ................................. 29
Slika 5.9: Določitev korenskih vrat stikal glede na ceno povezave do korenskega stikala . 30
Slika 5.10: Določitev povezovalnih vrat glede na ceno povezave segmenta s korenskim
stikalom. .............................................................................................................................. 31
Slika 5.11: STP vsa aktivna vrata, ki niso korenska ali povezovalna, blokira. ................... 31
Slika 5.12: V primeru odpovedi povezave vpetega drevesa algoritem izračuna in premosti
izpad z novo, najcenejšo povezavo v drevesu. .................................................................... 33
Slika 5.13: Stanje vmesnika vpetega drevesa ...................................................................... 34
Slika 5.14: Konvergenca STP omreţja ................................................................................ 40
Slika 5.15: Umestitev sleparskega stikala ........................................................................... 41
Slika 5.16: Povezava stikal .................................................................................................. 45
Slika 5.17: Prikaz privzetih nastavitev STP na stikalu Cisco 3550/12 ................................ 45
Slika 5.18: Prikaz nastavitve primarnega mostu na stikalu Cisco 3550/12 ......................... 46
Slika 5.19: Prikaz nastavitev STP za stikalo Cisco 3550/12 iz zajetega pretoka s
programom Wireshark ......................................................................................................... 47
Slika 5.20: Prikaz privzetih nastavitev STP na stikalu 3550/48 .......................................... 48
Slika 5.21: Prikaz nastavitev sekundarnega mostiča na stikalu 3550/48 ............................ 49
Omreţna stikala in komutacija LAN/WAN 91
Slika 5.22: Prikaz nastavitev za stikalo 3550/48 iz zajetega pretoka s programom
Wireshark............................................................................................................................. 49
Slika 5.23: Prikaz privzetih nastavitev na stikalu Cisco 2950 I .......................................... 50
Slika 5.24: Prikaz nastavitev za stikalo 2950 I iz zajetega pretoka s programom Wireshark
............................................................................................................................................. 51
Slika 5.25: Prikaz privzetih nastavitev na stikalu Cisco 2950 II ......................................... 52
Slika 5.26: Prikaz nastavitev za stikalo 2950 II iz zajetega pretoka s programom Wireshark
............................................................................................................................................. 52
Slika 5.27: Prikaz privzetih nastavitev na stikalu Cisco 2950 III ........................................ 53
Slika 5.28: Prikaz nastavitev za stikalo 2950 III iz zajetega pretoka s programom
Wireshark............................................................................................................................. 54
Slika 5.29: Prikaz ustvarjanja VLAN-ov ............................................................................. 55
Slika 5.30: Prikaz primarnih mostičev na stikalu Cisco 3550/12 ........................................ 56
Slika 5.31: Prikaz sekundarnih mostičev na stikalu Cisco 3550/12 .................................... 57
Slika 5.32: Prikaz primarnih mostičev na stikalu Cisco 3550/48 ........................................ 58
Slika 5.33: Prikaz sekundarnih mostov na stikalu Cisco 3550/48 ....................................... 59
Slika 5.34: Prikaz povzetka PVST+ na stikalu Cisco 2950 I .............................................. 60
Slika 5.35: Prikaz povzetka PVST+ na stikalu Cisco 2950 II ............................................. 61
Slika 5.36: Prikaz povzetka PVST+ na stikalu Cisco 2950 III ............................................ 61
Slika 5.37: Prikaz nastavitve R-PVST+ in onemogočitev Backbonefast in Uplinkfast ...... 62
Slika 5.38: Prikaz povzetka R-PVST+ na stikalu Cisco 3550/12 ....................................... 63
Slika 5.39: Prikaz povzetka R-PVST+ na stikalu Cisco 3550/48 ....................................... 63
Slika 5.40: Prikaz povzetka R-PVST+ na stikalu Cisco 2950 I .......................................... 64
Slika 5.41: Prikaz povzetka R-PVST+ na stikalu Cisco 2950 II ......................................... 64
Slika 5.42: Prikaz povzetka R-PVST+ na stikalu Cisco 2950 III ........................................ 65
Slika 6.1: Ustvarjanje in prikaz VLAN-ov .......................................................................... 67
Slika 7.1: Shema komutacije plasti L3 stikala in usmerjevalnika ....................................... 76
Slika 7.2: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC1 ................. 76
Slika 7.3: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC10 ............... 77
Slika 7.4: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC20 ............... 77
Slika 7.5: Prikaz IP naslova, maske podomreţja in privzetega prehoda za PC30 ............... 78
Slika 7.6: Prikaz konfiguracij stikala Cisco 3550 ............................................................... 79
Omreţna stikala in komutacija LAN/WAN 92
Slika 7.7: Prikaz nastavitev usmerjevalnika Cisco 1721 ..................................................... 80
Slika 7.8: Preverjanje dosegljivosti posameznih računalnikov ........................................... 81
Slika 9.1: Nastavitev varnosti vrat ....................................................................................... 86
12.2 Seznam preglednic
Tabela 5.1: Posodobljena tabela hitrost prenosa in cene povezav za STP .......................... 36
Tabela 5.2: STP časovniki ................................................................................................... 37
Tabela 5.3: Primerjava RSTP stanja vrat s STP stanjem vrat ............................................. 43
Tabela 7.1: Nastavitveni ukazi VTP .................................................................................... 73
12.3 Naslov študenta
Danijel Prosenjak
Brstje 27
2250 Ptuj
Telefonska številka: +386(0)40 328 160
E-mail: [email protected]
12.4 Kratek življenjepis
Rojen: 6. 10. 1984
Šolanje: 1991–1999 Osnovna šola Mladika Ptuj
1999–2003 Šolski center Ptuj, Poklicna in tehniška elektro šola Ptuj
2003–2009 Fakulteta za elektrotehniko, računalništvo in informatiko,
univerzitetni študijski program Telekomunikacije
Omreţna stikala in komutacija LAN/WAN 93
Omreţna stikala in komutacija LAN/WAN 94